Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Custommer. Se propaga por e-mail y ataca servidores
 
VSantivirus No. 442 - Año 5 - Domingo 23 de setiembre 2001

Nombre: W32/Custommer
Tipo: Gusano de Internet
Alias: Win32.Custommer
Fecha: 20/set/01

Este gusano se distribuye como adjunto en un mensaje con estas características:

Asunto: Fw: Security note #526272

Texto:
--------------- This is a forwarded message ---------------
>
> Original message from <support@af-solutions.com.uk>
>
> Dear custommer.
>
> Please read the attached data security note #526272/C.
> As a registered user of our data security / antivirus suite,
> we send you the latest security information. It is highly recommended
> that you read the information card and keep it in a safe place.
> Note also that you may freely distribute the card to your friends
> and collegues which is highly recommended too.
> If you do not wish to receive any further information, please read
> the file for instructions.
>
> At your service:
> Dr. Ivor Davis
> Senior researcher.
> Artificial Solucionas Corp.
> 12 Winston Road, Olton,
> Birmingham B42 2PA. UK.
>
>

Adjunto: SECURITY.EXE

El gusano se propaga enviándose a todos los contactos de la libreta de direcciones del Outlook. También puede borrar las páginas de inicio de servidores bajo IIS (Internet Information Server).

Si se ejecuta SECURITY.EXE, el gusano toma el control, liberando dos copias de si mismo en la carpeta System de Windows:

C:\Windows\System\WINSYS32.EXE
C:\Windows\System\WINDLL32.VXD

También crea en el registro la siguiente clave:

HKEY_CURRENT_USER\Software\VIRII
(Predeterminado) = "IIS/OutLook.Schwabenpost by Siggi"

Luego, abre una ventana de mensajes con el siguiente contenido:

 Data security note #526272 

  Security note #526272 
 This is a computer data security note from the Artificial 
 Solucionas corporation for the registered custommers 
 of you data security / antivirus suite. (note #526272 /C) 
 Dear custommer: We have recently captured a totally 
 new kind of Internet-borne virus type. It's spreading 
 capability and destructivity are very far beyond the nor- 
 mal email viruses. At the moment all we can do is warn 
 our custommers: Please do not open an email message 
 called "Fw: Schwabenpost" or "Re: Schwabenpost" 
 It is very recommended that you give this information to 
 other people too. You will receive more information as 
 soon as we find out more. Thank you for purchansing 
 our DiamondDefence(TM) security suite. 
 Email: siggi@developer.latino.de 
 Remember to mention your custommer number. 

Una vez que ha enviado sus mensajes infectados, el gusano intentará borrar las páginas Web de los servidores que ejecuten IIS server, siempre que la máquina infectada lo tenga instalado (IIS corre bajo Windows NT y 2000).

Si lo anterior se cumple, el gusano busca la presencia de la carpeta "\INETPUB\WWWROOT" y sobrescribe con su propio código cualquier página HTML con estos nombres:

INDEX.HTM
INDEX.HTML
INDEX.ASP
DEFAULT.ASP
DEFAULT.HTM
DEFAULT.HTML

También se copia a si mismo en el directorio WWWROOT con el nombre de "INFORMATION.EXE". En las páginas suplantadas por el gusano, existe un link a dicho archivo, lo que permite la descarga por parte de algún usuario.

Las pantallas reemplazadas se presentan con este texto al usuario que las visite:

We are temporarily closed

We are sorry but our site is at the moment
under heavy construction as you can see.

You may find the original site here.
Our latest updated product may be freely downloaded here.


El link del "original site here" apunta a un sitio mantenido por el autor del virus. El segundo link (el que apunta al "updated product") corresponde al ejecutable del gusano: INFORMATION.EXE.

También se agrega la siguiente entrada al registro:

HKEY_CLASSES_ROOT\.wor

Con esto, se habilita la extensión .WOR para que se comporte como la de cualquier ejecutable. De ese modo, todo archivo del tipo NOMBRE.WOR sería abierto con un simple doble clic. El gusano libera luego de los cambios mencionados, un archivo con esta extensión:

"C:\Send-Me-Mail!.wor"

De este modo, cualquiera que hiciera doble clic sobre ese pequeño archivo, estaría ejecutando nuevamente el gusano.

Finalmente, el gusano despliega el siguiente mensaje el día 16 de cualquier mes:

Windows

Outlook.PostExpress
Version 1.11 by siggi..

So, you are a virii collector too!
Let's, download some more to your collection

[    OK    ]

Luego, abre el Explorador apuntando a la página del producto.

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "W32/Custommer", "Custommer", etc.

Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave ".wor" de la siguiente rama: 

HKEY_CLASSES_ROOT
.wor

Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la entrada "VIRII" de la siguiente rama:

HKEY_CURRENT_USER
Software
VIRII


Fuente: Computer Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS