| |
VSantivirus No. 409 - Año 5 - Martes 21 de agosto de 2001
Este virus ya fue descripto en nuestro boletín #398 como W32/Annoying.Worm. Esta es una actualización ante el aumento de casos detectados en Estados Unidos y Europa. Se ha cambiado la identificación del virus por la más conocida a la fecha.
Nombre: W32/Choke.b
Tipo: Gusano de Internet
Alias: Worm.JerryMsg.A, W32/Annoying.Worm, I-Worm.Newpic, TROJ_NEWPIC.A, W32.Annoying.Worm,
Win32.Annoying, Troj_Brain.A
Tamaño: 49,152 bytes
Fecha: 8/ago/01
Este gusano se propaga a través del MSN Messenger (1), el programa de mensajería instantánea de Microsoft, en un archivo llamado
"PIC1324.EXE", de 49,152 bytes.
El gusano está programado en Visual Basic 6 (VB6), y requiere la librería Msvbvm60.dll para poder ejecutarse. De no existir, el virus no funcionará.
Si el usuario lo ejecuta, el gusano se registra como un proceso, apareciendo en la lista de tareas (al pulsar CTRL+ALT+SUPR) como
MsgSprd.
Luego, crea la siguiente clave en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSN Messenger = [ubicación de la descarga]\PIC1324.exe
También muestra el siguiente mensaje falso, para hacer creer que el archivo está corrupto, de modo que éste ya no se preocupe del mismo:
Error
Cannot open file. May be corupted. Replace the file with a new one and try again.
[ OK ]
Sin embargo, como vimos, el gusano ya se ha activado.
Luego de las acciones mencionadas, el virus permanece latente, sin hacer nada salvo esperar algún contacto activo en el Messenger, para enviar su código infectado. Para ello intercepta las APIs
(2) del Messenger.
Cuando aparece un contacto, entonces el gusano aguarda unos segundos, y luego envía el siguiente mensaje a este contacto (el mensaje no es visto en la máquina infectada):
hey, want me to send my new pic?
i took it yesterday
El pedido en inglés, es para preguntarle al usuario si desea recibir una nueva imagen. Si el contacto responde con alguna de las siguientes palabras, el virus contesta con alguno de estos textos:
Mensaje enviado:
send
Respuesta: there
Mensaje enviado : sure
Respuesta : [no hay respuesta]
Mensaje enviado : maybe
Respuesta : pweese ? :-)
Mensaje enviado : i guess
Respuesta : i hope you like it
Mensaje enviado : ok
Respuesta : alright, here ya go
Mensaje enviado : yea
Respuesta : alright, here ya go
Mensaje enviado : yes
Respuesta : alright, here ya go
Luego, si el usuario aceptó la transferencia, se envía a si mismo:
Nombre del adjunto: pic1324.exe
Tamaño: 49,152 bytes
Note que el hecho que tanto el mensaje como las palabras esperadas como respuesta, están en inglés, las probabilidades de activarse en nuestras computadoras es mucho menor que para los usuarios de habla inglesa.
El virus también crea este archivo:
C:\Messenger1324\Brain\1Read Me.txt
El contenido de 1Read Me.txt es el siguiente (son las instrucciones para remover el propio virus):
I come in piece. My name is Jerry.
The purpose of me is to spread. I'm not annoying, nor dangerous.
How to remove me:
1) Click Start, select Run. The Run dialog box pops up.
2) Type: msconfig The System Configuration Utility pops up.
3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok.
4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task.
You may freely delete the files or the 'C:Messenger1324' directory.
En el mismo directorio (C:\Messenger1324), el gusano crea un archivo por cada persona de la lista de contactos a las que se comunica (donde
"nombre" es el nombre de la cuenta, y "server.com" el nombre del servidor ):
nombre@server.com.txt
Este archivo contiene lo siguiente:
1=Start (si el contacto no ha recibido el mensaje aún).
1324=Success (si ha enviado el archivo).
Además, crea otro archivo por cada servidor de los contactos (por ejemplo
"hotmail.com" o "msn.com"), con la extensión
.TXT.
Para quitar el gusano de un sistema infectado, pulse CTRL+ALT+SUPR. Señale la tarea
"MsgSprd". Pulse en el botón "Finalizar
tarea".
Ejecute dos o más antivirus al día, y borre los archivos detectados como
W32/Choke.b, W32.Annoying.Worm o Worm.JerryMsg.A.
También borre la carpeta "C:\Messenger1324" y todo su contenido.
Para modificar el registro, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
"MSN Messenger"
4. Pinche sobre el nombre "MSN
Messenger" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Glosario:
(1) MSN Messenger - Utilidad de Microsoft que permite establecer contacto instantáneo con cualquier otra persona conectada a Internet, en forma similar al conocido ICQ, con facilidades de chat, acceso a casillas de correo de Hotmail, etc. Este software se instala por defecto con el Internet Explorer 5.5, o puede ser agregado independientemente por el usuario.
(2) API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
Fuentes: Symantec AntiVirus Research Center, Central Command, Kaspersky Antivirus, Network Associates.
(c) Video Soft - http://www.videosoft.net.uy
|
|
