|
VSantivirus No. 488 - Año 6 - Jueves 8 de noviembre de 2001
Nombre: W32/Finaldo.b
Tipo: Gusano de Internet
Alias: W32.Finaldo,Finaldo,W32/Finaldo, W32/Finaldo.b@MM
Fecha: 7/nov/01
Tamaño: 46 Kb aprox. (adjunto .EXE)
Finaldo es el nombre de un nuevo gusano que compromete la seguridad de la red. Es un virus de Win32, polimórfico, escrito en C++, capaz de infectar archivos en formato PE y de auto enviarse en forma masiva a través de mensajes infectados.
Sin embargo, esta versión contiene algunos bugs (errores) que impiden su funcionamiento correcto.
El gusano llega en un mensaje con diferentes asuntos, y sin texto en su cuerpo.
El nombre del adjunto es ".EXE" y su icono representa la bandera de la República Popular China.
El mensaje hace uso de la misma vulnerabilidad que aprovecha para su uso el virus Nimda (y otros), llamada "Incorrect MIME Header vulnerability (MS01-020)", lo que hace que el adjunto (de apenas unos 46 Kb) sea ejecutado con el simple acto de visualizar el mensaje o verlo en el panel de vista previa, si el sistema no tiene el parche correspondiente, haciéndose pasar por un archivo de audio (codificado como "audio/x-wav", en formato MIME).
La vulnerabilidad afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express.
Una vez en memoria, se crea un archivo llamado FINALDOOM.DLL o
FINALDOOM.EXE (comprimido con la utilidad UPX), en el directorio TEMP de Windows
(C:\Windows\TEMP por defecto), que intenta infectar archivos con las extensiones
.EXE, .OCX, y .SCR en todas las unidades locales y de red compartidas, agregándose el propio gusano a los archivos infectados.
Los archivos infectados por este método, no volverán a funcionar.
Los archivos NTOSKRNL.EXE y todo archivo autoextraíble creado por la utilidad
WinZip o WinRAR, son expresamente ignorados por el gusano. La razón de esto, es que cualquier modificación a estos archivos, sería crítica para los mismos aumentando las posibilidades de delatar la presencia del virus.
También se crea un archivo FINALDOOM.EML también en el directorio
TEMP, el cuál contiene el mensaje electrónico codificado con los protocolos MIME, que es enviado por el gusano al propagarse.
Los destinatarios son sacados de los mensajes existentes (Bandeja de entrada), con el uso de la interface API correspondiente de los protocolos MAPI.
El gusano aguardará 30 minutos antes de intentar enviarse a si mismo a todos esos destinatarios, utilizando sus rutinas SMTP, en un adjunto de nombre
".EXE" (vacío y solo extensión)
Una vez localizadas dichas direcciones, intentará usar el servidor SMTP relacionado con las direcciones recolectadas, utilizando la forma
SMTP.dirección, MAIL.dirección, WWW.dirección y EMAIL.dirección.
Por ejemplo, si una de las direcciones recogidas es usuario@proveedor.com, intentará los servidores SMTP:
smtp.proveedor.com
mail.proveedor.com
www.proveedor.com
email.proveedor.com
El virus intentará también modificar archivos con extensiones
.HTM, .HTML, y .ASP, insertándoles un pequeño código en JavaScript, que abrirá una ventana del explorador conteniendo el contenido del archivo
FINALDOOM.EML.
Debido a su poliformismo, cada archivo que infecta genera un archivo diferente, que intentará enviar usando los protocolos MAPI.
En los sistemas que hayan sido parcheados por la vulnerabilidad mencionada, el gusano no infectará salvo que se ejecute expresamente el adjunto.
En un sistema sin parche el simple acto de leer el mensaje o verlos en la panel de vista previa, provoca la infección del sistema.
Las extensiones infectadas por el gusano son:
EXE
SCR
OCX
HTM
HTML
ASP
Los archivos infectados contienen la cadena:
"Coded_by_CJH" [y 8 dígitos en hexadecimal que representan la cantidad de archivos infectados hasta el momento].
Además, puede verse en el código del gusano el siguiente texto:
Code by Finaldoom
Para limpiar un sistema infectado
Ejecute uno o dos antivirus al día, y borre los archivos identificados con el gusano
"Finaldo".
Si la limpieza de los archivos infectados falla, deberá reinstalar Windows.
Relacionados:
Parche para "Incorrect MIME header vulnerability"
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Glosario
MIME (Multipurpose Internet Mail Extensions) - Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.
API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
SMTP (Simple Mail Transport Protocol). Protocolo simple de transferencia de correo. Es el protocolo más utilizado en Internet para el envío de correo electrónico.
VIRUS POLIMÓRFICO (Polymorphic). Este tipo de virus, generalmente encriptado, cambia su código en forma aleatoria, agregando en algunos casos información basura a su código, con la idea de confundir a los antivirus, al obtener un aspecto diferente en cada archivo infectado.
ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Fuentes: McAfee, Symantec, Panda
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|