WormTrojan v1.0b: Un Generador de Gusanos

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 757 - Año 6 - Domingo 4 de agosto de 2002

WormTrojan v1.0b: Un Generador de Gusanos
http://www.vsantivirus.com/wormtrojan.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy

Podemos juzgar la ética de un programador de gusanos que los utiliza para infectar indiscriminadamente ordenadores ajenos. Alguien puede creer que estamos ante una mente aislada que tiene los conocimientos suficientes para programar uno de esos especímenes y trata de hacer daño con su creación.

Por si esto no fuera preocupante, lo que voy a comentar ahora lo es más. Y es que no estamos ante un gusano que alguien sube a Internet, sino ante un generador de gusanos. Es decir, Usted y yo podemos hacer gusanos a la carta y luego hacer lo que más nos parezca con ellos: desde borrarlos de nuestro ordenador hasta mandarlos por e-mail a la persona que peor nos resulte.

Desde luego no estoy descubriendo ahora los kits de creación de virus. Son casi tan antiguos como los propios virus, pero WormTrojan v1.0b tiene características de generador híbrido de gusanos y troyanos y esto lo hace un tanto especial.

En realidad el programa es pequeño: 25.576 bytes sin comprimir y 21.442 comprimido. Aún está en versión beta y su autor, Zombie, agradece a todo aquél que lo pruebe para que le envíe la lista de bugs que se vaya encontrando.

WormTrojan v1.0b genera gusanos que pueden editarse para robar contraseñas en los ordenadores infectados. En este caso el atacante ha de especificar un servidor SMTP y una cuenta de e-mail. A esa cuenta de e-mail irán todas las contraseñas que el gusano vaya recogiendo en cada ordenador en el que se instale. El envío de contraseñas puede ser de dos tipos: cada vez que la víctima esté online o una vez al día.

El gusano generado puede enviar cualquier mensaje que el atacante desee una vez se extienda por e-mail. Por ejemplo, estos son los valores que usa por defecto:

De: greetings@vgreetings.com
Asunto: A Video Greeting

Texto:
you have received a videoGreeting from SomeOne
open attached file to know who have sent it.

Datos adjuntos: video.exe

Una vez que el gusano sea ejecutado por primera vez, éste es el mensaje de engaño:

error!
cannot play Video

Aunque obviamente es un mensaje editable; así que el atacante puede elegir el mensaje que más le convenga.

Otro aspecto importante es que el atacante puede elegir entre conservar el cortafuegos y el antivirus o eliminarlos. Es tan fácil como señalar la opción correspondiente en el editor o no señalarla. Por defecto la opción señalada es la de eliminar el cortafuegos (no así el antivirus).

Cuando el gusano se instala crea los siguientes archivos:

\%System%\Sysd.dll
\%System%\Exelib.dll

Exelib.dll es el archivo que contiene la contraseñas que han de ser enviadas a la cuenta de e-mail del atacante.

En la clave del registro cambia el valor de:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

a %System%\wininet.exe "%1" %*; esto hace que el gusano actúe cuando intentemos ejecutar cualquier ejecutable.

Afortunadamente los principales antivirus son capaces de detectar este generador de gusanos bajo varios seudónimos: Trojan.PSW.Worm.10, W32/Wotron.worm, I-Worm.Wotron, W32/Wotron-A, WORM_WOTRON.A, WORM_WOTRON.10B.

Es muy difícil que quedemos infectados por este generador de gusanos si tenemos la precaución de actualizar nuestro antivirus. Una vez más insistimos en la conveniencia de tener nuestro antivirus al día y en la protección de un buen cortafuegos.

Notas:

La variable %System% corresponde a 'C:\Windows\System' en Windows 9x/ME, 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com