Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Choke.b. Se propaga a través del MSN Messenger
 
VSantivirus No. 409 - Año 5 - Martes 21 de agosto de 2001

Este virus ya fue descripto en nuestro boletín #398 como W32/Annoying.Worm. Esta es una actualización ante el aumento de casos detectados en Estados Unidos y Europa. Se ha cambiado la identificación del virus por la más conocida a la fecha.

Nombre: W32/Choke.b
Tipo: Gusano de Internet
Alias: Worm.JerryMsg.A, W32/Annoying.Worm, I-Worm.Newpic, TROJ_NEWPIC.A, W32.Annoying.Worm, Win32.Annoying, Troj_Brain.A
Tamaño: 49,152 bytes
Fecha: 8/ago/01

Este gusano se propaga a través del MSN Messenger (1), el programa de mensajería instantánea de Microsoft, en un archivo llamado "PIC1324.EXE", de 49,152 bytes.

El gusano está programado en Visual Basic 6 (VB6), y requiere la librería Msvbvm60.dll para poder ejecutarse. De no existir, el virus no funcionará.

Si el usuario lo ejecuta, el gusano se registra como un proceso, apareciendo en la lista de tareas (al pulsar CTRL+ALT+SUPR) como MsgSprd.

Luego, crea la siguiente clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSN Messenger = [ubicación de la descarga]\PIC1324.exe

También muestra el siguiente mensaje falso, para hacer creer que el archivo está corrupto, de modo que éste ya no se preocupe del mismo:

Error
Cannot open file. May be corupted. Replace the file with a new one and try again.
[    OK    ]

Sin embargo, como vimos, el gusano ya se ha activado.

Luego de las acciones mencionadas, el virus permanece latente, sin hacer nada salvo esperar algún contacto activo en el Messenger, para enviar su código infectado. Para ello intercepta las APIs (2) del Messenger.

Cuando aparece un contacto, entonces el gusano aguarda unos segundos, y luego envía el siguiente mensaje a este contacto (el mensaje no es visto en la máquina infectada):

hey, want me to send my new pic?
i took it yesterday

El pedido en inglés, es para preguntarle al usuario si desea recibir una nueva imagen. Si el contacto responde con alguna de las siguientes palabras, el virus contesta con alguno de estos textos:

Mensaje enviado:  send 
Respuesta:  there 

Mensaje enviado :  sure 
Respuesta :  [no hay respuesta]

Mensaje enviado :  maybe
Respuesta :  pweese ? :-) 

Mensaje enviado :  i guess
Respuesta :  i hope you like it 

Mensaje enviado :  ok
Respuesta :  alright, here ya go 

Mensaje enviado :  yea
Respuesta :  alright, here ya go 

Mensaje enviado :  yes
Respuesta :  alright, here ya go

Luego, si el usuario aceptó la transferencia, se envía a si mismo:

Nombre del adjunto: pic1324.exe
Tamaño: 49,152 bytes

Note que el hecho que tanto el mensaje como las palabras esperadas como respuesta, están en inglés, las probabilidades de activarse en nuestras computadoras es mucho menor que para los usuarios de habla inglesa.

El virus también crea este archivo:

C:\Messenger1324\Brain\1Read Me.txt

El contenido de 1Read Me.txt es el siguiente (son las instrucciones para remover el propio virus):

I come in piece. My name is Jerry.
The purpose of me is to spread. I'm not annoying, nor dangerous.

How to remove me:

1) Click Start, select Run. The Run dialog box pops up.

2) Type: msconfig The System Configuration Utility pops up.

3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok.

4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task. 

You may freely delete the files or the 'C:Messenger1324' directory. 

En el mismo directorio (C:\Messenger1324), el gusano crea un archivo por cada persona de la lista de contactos a las que se comunica (donde "nombre" es el nombre de la cuenta, y "server.com" el nombre del servidor ):

nombre@server.com.txt

Este archivo contiene lo siguiente:

1=Start (si el contacto no ha recibido el mensaje aún).
1324=Success (si ha enviado el archivo).

Además, crea otro archivo por cada servidor de los contactos (por ejemplo "hotmail.com" o "msn.com"), con la extensión .TXT.

Para quitar el gusano de un sistema infectado, pulse CTRL+ALT+SUPR. Señale la tarea "MsgSprd". Pulse en el botón "Finalizar tarea".

Ejecute dos o más antivirus al día, y borre los archivos detectados como W32/Choke.bW32.Annoying.Worm o Worm.JerryMsg.A.

También borre la carpeta "C:\Messenger1324" y todo su contenido.

Para modificar el registro, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"MSN Messenger"

4. Pinche sobre el nombre "MSN Messenger" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Glosario:

(1) MSN Messenger - Utilidad de Microsoft que permite establecer contacto instantáneo con cualquier otra persona conectada a Internet, en forma similar al conocido ICQ, con facilidades de chat, acceso a casillas de correo de Hotmail, etc. Este software se instala por defecto con el Internet Explorer 5.5, o puede ser agregado independientemente por el usuario.

(2) API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.


Fuentes: Symantec AntiVirus Research Center, Central Command, Kaspersky Antivirus, Network Associates.
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS