| |
Sábado 11 de setiembre de 1999.
Nombre: W32/Cholera
Alias: Cholera, W32/CTX, Win32.CTX, CTX
La alerta sobre este nuevo virus, el
"Cholera" (W32/Cholera, Cholera,
W32/CTX, Win32.CTX, CTX), fue dada el miércoles
por Hispasec, e inmediatamente
tomaron conocimiento del mismo diferentes
fabricantes de antivirus. El virus es una
creación del grupo español 29A, cuyo integrante
(GriYo), es el autor de otros virus, como por
ejemplo el "Marburg", y es parte de un
proyecto denominado "Simbiosis". Este
proyecto fue creado para "experimentar"
cuán rápido se expanden un virus de Win32 y un
gusano por Internet.
El worm: Cholera
Según Computer Associates International Inc.,
este virus puede convertirse en una seria amenaza
que podría sobrecargar los servidores de correo,
ya que el mismo posee la habilidad de enviarse
masivamente a direcciones de e-mail encontradas
en los discos duros de la víctima.
Pero posee dos aspectos diferentes encerrados en
un solo paquete.
Por un lado, como ya mencionamos, es un
"worm" (gusano), o sea que se propaga a
si mismo a través del correo electrónico, en
forma similar al Melissa y otros.
Por otro, esconde un elaborado virus llamado
"CTX" (Win32.CTX), extremadamente
sofisticado, de encriptación polimórfica, y
mutación lenta, que describiremos más adelante.
Si bien no se han detectado a la fecha, casos
reportados de infección, los principales
antivirus ya lo identifican.
El "Cholera", se envía junto a un
archivo adjunto llamado "Setup.Exe",
que semeja ser un instalador auto-extraíble, y
conteniendo como único texto un
"smiley" o "emoticón", la
clásica carita, símbolo usado en el correo
electrónico para demostrar "alegría":
" :) ".
Pero si se ejecuta, da un mensaje de error
(falso, ya que lo genera el propio virus),
haciendo creer a la víctima que el archivo está
corrupto porque no se terminó de bajar
correctamente:
Cannot open file:
it does not appear to be a valid archive.
If you downloaded this file, try downloading the
file again
El mensaje,
típico de WinZip, en realidad es generado por el
virus, y mientras lo hace, procede a desencriptar
ciertas cadenas de texto que puedan llegar a
despertar sospechas a los usuarios avanzados que
puedan revisar los archivos con algún editor
hexadecimal.
Además, en este momento "Cholera" se
copia a si mismo como RPCSRV.EXE en la carpeta de
Windows, y lanza entonces un proceso
"multithreads" que le permite trabajar
al mismo tiempo con todas las unidades de disco
de la PC infectada y con las compartidas a
través de los recursos de una red.
En cada uno de estos procesos, busca las unidades
de disco duro, y al archivo WIN.INI, comprobando
la existencia de carpetas como
"\WINDOWS", "\WIN95",
"\WIN98", "\WIN" y
"\WINNT". Una vez localizado WIN.INI,
el gusano introduce junto a la línea
"RUN=", su nombre y ubicación, para
cargarse en los posteriores reinicios de la
máquina.
Hispasec advierte que con estas acciones,
"Cholera" posee una gran rapidez de
expansión a través de redes locales, "y en
tan sólo unos segundos el i-worm puede haber
contagiado, sin ir más lejos, a la redacción de
un periódico al completo".
Para propagarse, espera el próximo reinicio de
alguna de las computadoras infectadas, y al
ejecutarse (gracias al comando "RUN="),
permanece como tarea activa en segundo plano,
interceptando la ejecución de aplicaciones de
Internet tales como CuteFTP, Internet Explorer,
mIRC, Outlook Express o Telnet, extrayendo datos
como nombre de usuario, dominio, y servidor SMTP
usados por Outlook Express, con el fin de
emplearlos para enviarse a distintas direcciones
de correo sin despertar sospechas.
Las direcciones de los destinatarios son
extraídas de archivos DBX, EML, HTM, HTML, IDX,
MBX, NCH y TXT, (páginas Web, texto y distintos
formatos de programas de correo), ubicados en
cualquier unidad a la que se tenga acceso. Luego,
genera un e-mail como el descripto al comienzo,
con el virus adjunto, a cada una de las
direcciones recopiladas. Luego de esto, borra
toda huella dejada (como por ejemplo en el
WIN.INI). Pero mantiene activo el virus
"CTX", mencionado al principio.
El virus: Win32.CTX (CTX, W32/CTX).
Win32.CTX es el virus que libera el gusano
"Cholera". Al ejecutarse, busca
archivos PE (Windows Portable Executable files),
en el directorio actual, en Windows y en
Windows\System, pero no lo hace si es el
directorio raíz de la unidad. Entonces infecta a
cinco archivos en cada directorio, cada vez que
un archivo infectado se ejecuta.
La rutina "payload" (de daño) del
virus se activa cuando un archivo infectado se
ejecuta a los seis meses de haberse infectado y
exactamente a la misma hora en que lo fue. Esta
rutina invierte los colores del escritorio de
Windows en un bucle sin fin (tipo
"flash").
El virus contiene esta cadena del texto, la que
no es usada en ningún momento:
[ CTX
Phage Virus BioCoded by GriYo / 29A
Disclaimer: This software has been designed
for research purposes only. The author is not
responsible for any problems caused due to
improper or illegal usage of it ]
Los
archivos infectados
Cuando se infecta un archivo PE, el virus aumenta
el tamaño de la última sección del mismo,
encripta su copia con una rutina polimórfica, y
se guarda allí. Para conseguir el control sobre
la ejecución de ese archivo, no modifica la
dirección de inicio (StartProgram), sino que
examina el código en busca de instrucciones CALL
o JMP (llamar o saltar en assembler) que se
refieran a la "ImportTable". Si
encuentra alguna, modifica dicha tabla para
dirigir el salto a si mismo y luego retornar para
continuar con el funcionamiento normal del
programa. Si el virus no encuentra ninguna
instrucción CALL o JMP que se refiera a la
"ImportTable", termina la rutina de
infección.
Esta rutina presenta algunos pequeños problemas,
que provocan en algunos casos mensajes de error
de Windows al ejecutarse un programa infectado, o
incluso que Windows NT se detenga cuando se está
cargando.
Compatibilidad con "Win2000"
El virus evita la protección anti-viral y de
integridad incorporada en Win2000, la que está
basada en el SFC (System File Check). Consigue
acceso a las funciones del SFC.DLL, y verifica
cada archivo antes de infectarlo. Si un archivo
es protegido por SFC, el virus lo ignora y busca
otros en el directorio.
Su elaborada maquinaria polimórfica (basada en
virus como "Win95.HPS" y
"Win95.Marburg", pero con mejoras),
dificulta su descubrimiento y desinfección.
Demás está decir, que no debe ejecutar jamás
archivos adjuntos a mensajes no solicitados,
aunque les sean enviados por conocidos, y que
mantenga actualizados sus antivirus.
|
|
