VSantivirus No. 1041, Año 7, Miércoles 14 de mayo de 2003
W32/Ardurk.A. Asunto: CARTOON [número al azar]
http://www.vsantivirus.com/ardurk-a.htm
Nombre: W32/Ardurk.A
Tipo: Gusano de Internet
Alias: Ardurk, W32/Ardurk.A@mm
Tamaño: 13,312 bytes
Fecha: 7/may/03
Plataforma: Windows 32-bit
Es un gusano de envío masivo vía correo electrónico, que infecta archivos con extensión .HTM.
Se presenta en mensajes como el siguiente:
Asunto: CARTOON [número al azar]
Datos adjuntos: CARTOON_[número al azar].exe
El cuerpo del mensaje tiene formato HTML, e incluye los siguientes textos:
CARTOON [número al azar]
The #1 Site for: Cartoons, Hentai & Anime HORNY
LITTLE TOONS
EXCLUSIVE HENTAI CONTENT
EROTIC ANIME MOVIES
NEVER SEEN BEFORE CARTOON SLUTS
JAPANESE MANGA TOONS
ENTER CARTOON [número al azar] HERE!!
To unsubscribe click here [enlace a un sitio Web]
En Windows NT, 2000 y XP, el gusano habilita como compartida cada unidad de disco encontrada en la máquina infectada, de modo que la misma puede ser accedida desde cualquier lugar de una red o desde Internet.
También libera copias de si mismo por cada archivo .HTM infectado. En los archivos HTM, un TAG o rótulo OBJECT (código de formateo utilizado en documentos HTML para dar instrucciones al navegador) apunta a la copia del gusano, de modo que éste se ejecuta cada vez que se visualiza el HTM modificado.
Busca direcciones de correo en la libreta de direcciones de Windows (*.WAB, Windows Address Book), y en los archivos .HTM que infecta.
Aparenta estar escrito en assembler y mide solo 13,312 bytes sin comprimir.
Su código está encriptado, y es desencriptado cada vez que se ejecuta con una simple instrucción XOR.
Cuando se ejecuta, examina la memoria en busca de las funciones API necesarias para sus rutinas de infección y propagación, las que son proporcionadas por las DLL que el sistema haya cargado. Una función API (Application Program Interface), es un conjunto de rutinas que un programa utiliza para solicitar y efectuar servicios ejecutados por el sistema operativo de un equipo.
El gusano obtiene el nombre NetBIOS de la computadora infectada, y también la dirección del servidor SMTP por defecto de la víctima, leyendo ese dato de la siguiente clave:
Software\Microsoft\Internet Account Manager\Accounts
El gusano obtiene el nombre del directorio System de la computadora infectada (por ejemplo "C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP), y copia su propio código con el mismo nombre. Esta copia es registrada como servicio en el sistema infectado y luego ejecutada quedando activa en memoria.
Las siguientes claves del registro son modificadas (Windows NT, 2000 y XP):
1. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_[nombre y extensión del gusano]
NextInstance = dword:00000001
2. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_[nombre y extensión del gusano]\0000
Class = LegacyDriver
ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
ConfigFlags = dword:00000000
DeviceDesc = [nombre y extensión del gusano]
Legacy = dword:00000001
Service = [nombre y extensión del gusano]
3. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\[nombre y extensión del gusano]
DisplayName = [nombre y extensión del gusano]
ErrorControl = dword:00000000
ImagePath = [nombre y extensión del gusano]
ObjectName = LocalSystem
Start = dword:00000002
Type = dword:00000110
Después de comparar los parámetros de la línea de comandos con una cadena contenida en su propio código, el gusano despliega un mensaje de error falso:
Error System Seting
The object can't accept the call because its
initialize function or equivalent has not be
called.
[ OK ]
Luego, la copia original del gusano finaliza su acción, dejando activa solo la que se ejecuta en memoria como un servicio (oculta de la lista de tareas al pulsar CTRL+ALT+SUPR en Windows 9x y Me, y con el nombre del directorio System32 en Windows NT, 2000 y XP).
El gusano busca en todas las carpetas y subcarpetas de cada unidad de disco, archivos .HTM para infectarlos.
Cada vez que encuentra alguno, el gusano crea otra copia de si mismo con un nombre al azar, y registra una clase de objeto por cada copia creando entradas en el registro como la siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\CLSID\{[Clase generada por el gusano]}
Value = [nombre y ubicación de la copia del gusano]
En el archivo .HTM se agrega el siguiente TAG, al comienzo del archivo:
<0BJECT type="app|ication/x-oleobject"
CLASSID="CLSID:[Clase generada por el gusano]">
</0BJECT>
Nota: Se ha falseado la
instrucción para evitar que un antivirus confunda esta
página con parte del código de un virus.
Al mismo tiempo que infecta los archivos .HTM que encuentra, busca en los mismos direcciones de correo y las guarda para luego usarlas en su rutina de envío masivo.
Para autoejecutarse en cada reinicio, el gusano crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Namesd = [camino y nombre del gusano]
En Windows NT, 2000 o XP, comparte todas las unidades de disco de la máquina infectada con un "null session access", lo que significa que todos los discos quedarán abiertos para un acceso anónimo vía recursos compartidos NetBIOS. Windows NT, 2000 y XP, almacenan las definiciones de recursos compartidos en la siguiente clave del registro:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares
O
HKLM\SYSTEM\ControlSet001\Services\lanmanserver\Shares
El gusano verifica la presencia de una conexión de red, realizando solicitudes ocultas a un sitio en Internet.
Posee su propia rutina SMTP, la que utiliza para enviar sus mensajes infectados, sin importar el cliente de correo instalado en la computadora infectada. Como servidor SMTP utiliza el de la cuenta por defecto de la víctima.
El formato de estos mensajes es cómo el descripto al principio. La lista de destinatarios incluye las direcciones recolectadas de los archivos .HTM infectados, y todos los contactos de la libreta de direcciones de Windows.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Namesd
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|