|
VSantivirus No. 500 - Año 6 - Martes 20 de noviembre de 2001
Nombre: W32/Aliz.A
Alias: W32/Aliz.B, Aliz, Win32.Aliz, W95/Aliz.a,
W95/Aliz.b
Tamaño: 4 Kb
Fecha: 18/nov/01
Seguramente se trata del gusano en código Win32 más pequeño jamás creado, con tan solo
4.000 bytes. Está escrito en código máquina puro (assembler), y luego comprimido.
Si el usuario ejecuta el archivo del gusano (con solo ver un mensaje infectado en el panel de la vista previa, o abriendo dicho mensaje para ver su texto, por ejemplo), primero se descomprime en memoria y luego pasa el control a una rutina que configura las direcciones de las APIs.
Cuando todas las direcciones API necesarias son recolectadas, el control pasa a la rutina principal del gusano.
Primero, busca en el registro la ubicación de la libreta de direcciones de Windows y la carga en memoria. El dato lo toma de esta clave del registro:
HKCU\Software\Microsoft\WAB\WAB4\Wab File Name
El gusano se conecta entonces al servidor SMTP por defecto de la máquina infectada. Este dato lo saca del registro:
HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001
Entonces, el gusano se autoenvía a todos los contactos de la libreta de direcciones, en un mensaje con estas características:
Asunto: [compuesto al azar con 5 diferentes partes]
Texto: [vacío, pero con formato HTML y contenido MIME]
Adjunto: Whatever.exe
El asunto está formado con la combinación al azar de estas cinco partes:
- Fw:
Fw: Re:
- Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
- website
site
pics
urls
pictures
stuff
mp3s
shit
music
info
- to check
for you
i found
to see
here
- check it
- !!
!
:-)
?!
hehe ;-)
Seleccionando un elemento de cada una de estas cinco series, se obtienen asuntos como:
Fw: Cool pictures i found !!
Nice website to check hehe ;-)
La cantidad de combinaciones es bastante grande, lo que dificulta descubrir este tipo de mensajes a simple vista.
El mensaje contiene un adjunto codificado en formato MIME (Whatever.exe), pero con el truco de figurar como tipo
"audio/x-wav". El Internet Explorer interpreta que en realidad se trata de un archivo de audio (cuando no lo es), y eso ocasiona que sea "reproducido" en forma automática cuando se abre el mensaje o se visualice en la vista previa, sin necesidad de ejecutar el adjunto.
Esta acción se produce debido a una vulnerabilidad en el Internet Explorer (Incorrect MIME Header), similar a la aprovechada por virus como el Nimda o el Klez, y ocurre si el usuario tiene una versión de Outlook u Outlook Express en la que no ha sido instalado el parche que corrige esta falla.
El gusano no se instala en ningún momento en el sistema, ejecutándose cada vez que se lee el mensaje o se ejecuta
Whatever.exe, y luego de enviar todos los mensajes infectados como ya vimos, termina su acción sin hacer nada más (hasta que sea ejecutado nuevamente).
Su código también contiene el siguiente texto, que jamás es mostrado, el cual contiene un mensaje a un fabricante de antivirus, donde hace referencia a su tamaño, y su historia, además de algunos reconocimientos, y que comienza con la siguiente línea:
:::iworm.alizee.by.mar00n!ikx2oo1:::
Cómo el gusano no se carga en memoria, para eliminarlo es suficiente con ejecutar uno o dos antivirus actualizados, y borrar el mensaje infectado. Se recomienda vaciar la bandeja de Elementos eliminados, y luego compactar las carpetas (en Outlook Express) desde Archivo, Carpeta, Compactar todas las carpetas.
También se recomienda instalar el parche de Microsoft, para evitar la ejecución de un archivo a través de un mensaje que explote la vulnerabilidad antes mencionada:
www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Ver también:
VSantivirus No. 322 - 26/may/01
I-Worm.Aliz. Puede infectarnos sin tener que abrir el adjunto
http://www.vsantivirus.com/aliz.htm
Glosario:
API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
MIME (Multipurpose Internet Mail Extensions). Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.
Fuente: F-Secure
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|