|
VSantivirus No. 463 - Año 5 - Domingo 14 de octubre 2001
Nombre: VBS/VBSWG.AF (Antrax) (Intended)
Tipo: Gusano de Visual Basic Script
Alias: VBS/Antrax, VBS/VBSWG.L, VBS/VBSWG.based, I-Worm.Lee-based, VBS.Kalamar, VBS.Vbswg2.gen, VBS/VBSWG2.gen@MM
Fecha: 13/oct/2001
Aprovechándose de la actualidad que esta plaga está adquiriendo, y explotando el morbo de una supuesta imagen de un enfermo terminal, este virus, de propagarse (por ahora es solo un ejemplar de laboratorio), podría ser alimento fácil para los que abren cualquier adjunto recibido por correo, sin siquiera pensar en las consecuencias. De cualquier modo, debería ser reconocido por cualquier antivirus al día, al tratarse de un vulgar gusano creado con una conocida herramienta. Sin embargo, por lo menos dos importantes antivirus (Panda y Sophos), fallaron en identificarlo como tal, al menos antes de tener una actualización de su base de datos.
Actualización 16/oct/01
El virus posee un error en su código, que impide pueda
ejecutarse correctamente.
Ver Virus Antrax no puede propagarse, pero cambia de nombre
Este es el examen detallado del virus realizado por VirusAttack!
(http://www.virusattack.com.ar/), y publicado con su autorización.
Se trata de un nuevo gusano de Internet creado con la herramienta
VBS Worm Generator, el cual aprovecha la importancia sobre el virus biológico "ántrax" para intentar incitar al usuario a abrir su archivo adjunto.
Debido a un error en su código, no puede ejecutarse
correctamente su rutina de propagación.
El gusano puede ser recibido en un mensaje como el siguiente:
Asunto: Informacion Sobre El Antrax
Cuerpo:
como ahorita esta de moda hablar sobre el antrax aqui
les mando una foto de un enfermo terminal
Archivo adjunto: antrax.jpg.vbs
Con el truco de la doble extensión, el creador del virus busca engañar al usuario, haciéndole creer que se trata realmente de un archivo gráfico con extensión
.jpg cuando en realidad es un archivo que contiene código
VBScript.
Si se ejecuta el archivo adjunto, el gusano creará una copia de si mismo en el directorio
Windows, con el nombre antrax.jpg.vbs. Luego crea la siguientes clave de registro para ejecutarse con cada inicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
antrax.dll wscript.exe c:\windows\antrax.jpg.vbs %
Tras esto, realiza un cálculo aleatorio, que en caso de cumplir con cierta condición, muestra el siguiente mensaje:
Antrax
El wAsEk Te Saluda
Después chequea por la existencia de las siguientes entradas en el registro, que utiliza para saber si ya intentó enviarse por correo electrónico o si ya modifico el
mIRC para intentar propagarse via IRC:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Antrax
J6I34M30
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Antrax
NN488V72
Si el valor de estas claves es igual a uno, quiere decir que ya realizó dichas acciones. De lo contrario, comienza con ellas.
Primero intenta enviarse por correo electrónico a todos los contactos en la libreta de direcciones del sistema, un método muy utilizado por los gusanos creados por la herramienta
VBSWG. Esta rutina falla por errores en su código. Si
pudiera hacerlo, el mensaje enviado sería el mismo siempre, y el nombre del archivo adjunto también, siendo exactamente igual al detallado más arriba. Una vez enviado el mensaje, el gusano lo elimina de la carpeta de
Elementos Enviados del Outlook. Si esta aplicación no se encuentra instalada y configurada en el sistema, el virus no podrá reenviare por correo.
A continuación, busca por la existencia de la aplicación mIRC en el sistema, y si la encuentra, crea un archivo script.ini para intentar propagarse a través del IRC, utilizando esta herramienta de chat. De esta manera, cuando un usuario infectado por este virus se encuentre chateando en algún salón de chat, utilizando el mIRC o alguno de sus derivados, cada vez que una persona ingrese en dicho salón, el usuario infectado le enviará una copia del virus sin saberlo.
Luego genera un archivo antrax.exe en el directorio Windows que al parecer se trata de un Mail Bomber, el cual es ejecutado tras su creación. Este archivo aún se encuentra siendo analizado por nuestro laboratorio.
El gusano contiene rutinas para sobrescribir todos los archivos con extensión
.vbs y .vbe del sistema que nunca son ejecutadas. También contiene el siguiente comentario al comienzo de su código:
Vbs.Vbswg.Antrax Created By wAsEk. 10/13/2001
Para eliminar el virus.
Ejecute un antivirus actualizado.
Al 13/oct/01, el virus es detectado como:
VBS.Kalamar (Dr. Web)
VBS.Vbswg2.gen (Norton)
VBS/VBSWG2.gen@MM (VirusScan)
I-Worm.Lee-based (KAV (AVP))
Genérico (F-Prot)
Actualmente todos los antivirus lo reconocen.
Para eliminarlo manualmente:
1. Utilizando el programa REGEDIT.EXE acceder a la clave y eliminarla
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
antrax.dll
2. Eliminar luego el archivo c:\windows\antrax.jpg.vbs
3. Reiniciar el sistema y chequearlo con un antivirus actualizado
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus
escritos en VBS
Ver también:
17/oct/01 - Virus Antrax no puede propagarse, pero cambia de nombre
Fuente: VirusAttack!
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|