| |
VSantivirus No. 531 - Año 6 - Viernes 21 de diciembre de 2001
Nombre: W32/Welyah (Shoho)
Tamaño: 110,592 bytes
Alias: Welyah, I-Worm.Welyah, W32/Shoho@MM
Fecha: 20/dic/01
Fuente: Kaspersky, F-Secure
Este gusano, que se propaga en sistemas Win32, es un archivo en formato PE (Portable Executable), y ha sido compilado en Visual Basic 6.
El virus envía mensajes con adjuntos infectados por él y además puede enviar a ciertos sitios FTP, algunos archivos robados de la computadora infectada (nombres de usuario y contraseñas del cliente CuteFTP), los cuáles comprometen la seguridad de la víctima.
También posee una rutina destructiva.
El virus se ejecuta por el solo acto de leer o visualizar un mensaje, ya que hace uso de una conocida brecha en la seguridad del Internet Explorer, relacionada con la etiqueta IFRAME (ms01-020 Iframe exploit). También se ejecutaría si el usuario hace doble clic sobre el adjunto, el cuál en realidad no es un .TXT como ya vimos.
La primera acción del gusano es copiarse a si mismo a las carpetas de
Windows y sistema, con el nombre WINL0G0N.EXE (las
"0" son números cero, no la letra "O"):
C:\Windows\Winl0g0n.exe
C:\Windows\System\Winl0g0n.exe
Luego modifica las siguientes claves del registro de Windows, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Winl0g0n = C:\Windows\Winl0g0n.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winl0g0n = C:\Windows\Winl0g0n.exe
Para propagarse, el gusano hace uso de su propia rutina de conexión SMTP, cuya dirección es tomada del registro (SMTP de la cuenta de correo del usuario), o bien utiliza una dirección SMTP predefinida en su código:
210.177.111.18, no dependiendo por lo tanto del Outlook, ni de ningún otro programa externo para enviarse.
Las direcciones a las que se envía, son sacadas de archivos con las siguientes extensiones, que hayan sido encontrados en la computadora infectada (corresponden a la libreta de direcciones, bases de mensajes, etc.):
*.eml
*.wab
*.dbx
*.mbx
*.xls
*.xlt
*.mdb
El mensaje, en formato HTML, tiene las siguientes características:
Asunto: Welcome to Yahoo! Mail
Texto:
This message uses a character set that is not supported
by the Internet Service. To view the original message
content, open the attached message. if the text doesn't
display correctly, save the attachment to disk, and then
open it using a viewer that can display the original
character set.
Adjunto: README.TXT
.pif
La doble extensión esconde la verdadera (.PIF). Para engañar, coloca numerosos espacios vacíos entre ambas extensiones, lo que deja fuera de la vista a la segunda.
Sin embargo, el gusano hace uso de una conocida vulnerabilidad para infectar la máquina del que recibe el mensaje. Para visualizar un email con formato HTML, el Outlook (y otros programas de correo) utilizan el Internet Explorer. Este no maneja correctamente algunos tipos de extensiones MIME, de tal manera que bajo ciertas condiciones, se puede ejecutar un archivo binario adjunto a un correo, como en este caso.
El parche está disponible desde marzo de 2001. Más información al pie de esta descripción.
La lista de destinatarios, es guardada por el gusano en el archivo
EMAILINFO.TXT, mientras que EMAIL.TXT contiene el mensaje que luego utiliza para propagarse.
El gusano es capaz de buscar los siguientes archivos en los subdirectorios de los discos de la computadora infectada, para luego enviarlos a un servidor
FTP:
tree.dat
smdata.dat
hosts.dat
sm.dat
Esto compromete la seguridad de los usuarios que utilicen la utilidad
CuteFTP para subir archivos a un sitio Web vía FTP (por ejemplo). Los datos incluyen listas de sitios, y sus configuraciones incluyendo nombre de usuario y contraseñas. Los mismos son enviados al servidor FTP
"ftphd.pchome.com.tw" a los usuarios de esta lista:
shit0918
shit530
shiu58
shoho2
shoo2206
El gusano posee también una destructiva rutina que borra todos los archivos del directorio actual, y puede borrar todos los archivos en el directorio raíz de
Windows después de un reinicio.
También puede crear o borrar archivos específicos de la computadora infectada. Por ejemplo, puede crear los siguientes:
email.txt
emailinfo.txt
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\email.txt
c:\WINDOWS\SYSTEM\WINL0G0N.EXE
c:\WINDOWS\WINL0G0N.EXE
También busca y borra los siguientes:
c:\WINDOWS\1STBOOT.BMP
c:\WINDOWS\ASD.EXE
c:\WINDOWS\CLEANMGR.EXE
c:\WINDOWS\CLSPACK.EXE
c:\WINDOWS\CONTROL.EXE
c:\WINDOWS\CVTAPLOG.EXE
c:\WINDOWS\DEFRAG.EXE
c:\WINDOWS\DOSREP.EXE
c:\WINDOWS\DRWATSON.EXE
c:\WINDOWS\DRWATSON
c:\WINDOWS\DRWATSON\FRAME.HTM
c:\WINDOWS\EMM386.EXE
c:\WINDOWS\HIMEM.SYS
c:\WINDOWS\HWINFO.EXE
c:\WINDOWS\JAUTOEXP.DAT
c:\WINDOWS\Kacheln.bmp
c:\WINDOWS\Kreise.bmp
c:\WINDOWS\LICENSE.TXT
c:\WINDOWS\LOGOS.SYS
c:\WINDOWS\LOGOW.SYS
c:\WINDOWS\MORICONS.DLL
c:\WINDOWS\NDDEAPI.DLL
c:\WINDOWS\NDDENB.DLL
c:\WINDOWS\NETDET.INI
c:\WINDOWS\RAMDRIVE.SYS
c:\WINDOWS\RUNHELP.CAB
c:\WINDOWS\SCRIPT.DOC
c:\WINDOWS\Setup.bmp
c:\WINDOWS\SMARTDRV.EXE
c:\WINDOWS\Streifen.bmp
c:\WINDOWS\SUBACK.BIN
c:\WINDOWS\SUPPORT.TXT
c:\WINDOWS\TELEPHON.INI
c:\WINDOWS\W98SETUP.BIN
c:\WINDOWS\Wellen.bmp
c:\WINDOWS\WIN.COM
c:\WINDOWS\WIN.INI
c:\WINDOWS\WINSOCK.DLL
Cómo limpiar manualmente el virus
Si el virus ya se ejecutó una vez, al reiniciarse nuevamente la computadora infectada, podría presentarse una pantalla azul de la muerte, debido al borrado de algunos archivos vitales de Windows. En ese caso
deberán reinstalarse los archivos borrados, aunque posiblemente suponga una reinstalación total de Windows.
Si ese no es el caso, ejecute primero un antivirus actualizado, y luego siga estos pasos:
1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada
"Winl0g0n" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
5. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada
"Winl0g0n" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Referencias
VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en Internet Explorer
http://www.vsantivirus.com/vulms01-020.htm
Glosario
ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
MIME (Multipurpose Internet Mail Extensions) - Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
