|
VSantivirus No. 578 - Año 6 - Martes 5 de febrero de 2002
W32/Welyah.D. Infecta sin necesidad de abrir el mensaje
http://www.vsantivirus.com/welyah-d.htm
Nombre: W32/Welyah.D (Shoho)
Tipo: Gusano de Internet
Alias: I-Worm.Welyah.D, Worm/WelYah.D, I-Worm.Shoho-G
Fecha: 2/ene/01
Tamaño: 110,592 bytes
Fuente: Kaspersky, F-Secure, Central Command
W32/WelYah.D, es una variación pequeña del gusano WelYah y sus variantes
A, B, y C.
Se propaga en sistemas Win32, y es un archivo en formato PE (Portable Executable), que ha sido compilado en Visual Basic 6.
El virus envía mensajes con adjuntos infectados por él y además puede enviar a ciertos sitios FTP, algunos archivos robados de la computadora infectada (nombres de usuario y contraseñas del cliente CuteFTP), los cuáles comprometen la seguridad de la víctima.
También posee una rutina destructiva, la cuál es capaz de borrar archivos del sistema.
El virus se ejecuta por el solo acto de leer o visualizar un mensaje, ya que hace uso de una conocida brecha en la seguridad del Internet Explorer, relacionada con la etiqueta
IFRAME (ms01-020 Iframe exploit). También se ejecutaría si el usuario hace doble clic sobre el adjunto, el cuál simula ser un archivo de solo texto .TXT
La primera acción del gusano es copiarse a si mismo a las carpetas de Windows y sistema, con el nombre
WINL0G0N.EXE (las "0" son números cero, no la letra
"O"):
C:\Windows\Winl0g0n.exe
C:\Windows\System\Winl0g0n.exe
Luego modifica las siguientes claves del registro de Windows, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Winl0g0n = C:\Windows\Winl0g0n.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winl0g0n = C:\Windows\Winl0g0n.exe
Para propagarse, el gusano hace uso de su propia rutina de conexión
SMTP, cuya dirección es tomada del registro (SMTP de la cuenta de correo del usuario), o bien utiliza una dirección SMTP predefinida en su código:
210.177.111.18, no dependiendo por lo tanto del Outlook, ni de ningún otro programa externo para enviarse.
Las direcciones a las que se envía, son sacadas de archivos con las siguientes extensiones, que hayan sido encontrados en la computadora infectada (corresponden a la libreta de direcciones, bases de mensajes, etc.):
*.eml
*.wab
*.dbx
*.mbx
*.xls
*.xlt
*.mdb
El mensaje, en formato HTML, tiene las siguientes características:
Asunto: Welcome to Yahoo! Mail
Adjunto: README.TXT
.pif
La doble extensión esconde la verdadera (.PIF). Para hacernos creer es un
.TXT y no un .PIF, coloca numerosos espacios vacíos entre ambas extensiones, lo que deja fuera de la vista a la segunda.
Sin embargo, el gusano hace uso de una conocida vulnerabilidad para infectar la máquina del que recibe el mensaje. Para visualizar un email con formato HTML, el Outlook (y otros programas de correo) utilizan el Internet Explorer. Este no maneja correctamente algunos tipos de extensiones MIME, de tal manera que bajo ciertas condiciones, se puede ejecutar un archivo binario adjunto a un correo, como en este caso.
El parche está disponible desde marzo de 2001.
Más información sobre este gusano/troyano, así como la forma de sacarlo de un sistema infectado en:
VSantivirus No. 531 - 21/dic/01
W32/Welyah. Se ejecuta al leerlo y roba datos personales
http://www.vsantivirus.com/welyah.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|