Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Ganda.A. Usa la actual situación política mundial
 
VSantivirus No. 984 - Año 7 - Martes 18 de marzo de 2003

W32/Ganda.A. Usa la actual situación política mundial
http://www.vsantivirus.com/ganda-a.htm

Nombre: W32/Ganda.A
Tipo: Virus y Gusano de Internet
Alias: W32/Ganda.A-mm, WORM.SwedenSux, Densux, W32/Densux, Densus, W32/Ganda@MM, Ganda, W32.Ganda.A@mm, Myzli, SwedenSux, Win32/Ganda.A@mm, PE_GANDA.A, Win32.Roger.45056, W32/densus@mm
Fecha: 16/mar/03
Tamaño: 45,056 bytes (aumenta 567 bytes los archivos PE)
Plataformas: Windows 32-bit

El 16 de marzo, MessageLabs reportó la primera copia de este gusano, que aparentemente tiene su origen en Suecia.

Se trata de un gusano programado en assembler, con capacidad de envío masivo a contactos obtenidos de la libreta de direcciones de Windows.

El gusano también funciona como parásito, infectando archivos PE (Portable Executable) en la máquina infectada. Los archivos infectados aumentan su tamaño en 567 bytes. Se les llama parásitos a los virus que requieren de un portador (o host) para propagarse. Se adjuntan a otro programa y se activan cuando ese programa es ejecutado. El virus en los archivos infectados no se reproduce a si mismo. La infección solo sirve para volver a ejecutar al gusano. Los archivos infectados son reconocidos como infectados por W32/Ganda.

El gusano crea un "mutex" llamado "SWEDENSUX" para asegurarse que una sola copia está activa en memoria al mismo tiempo. Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso.

Posee su propia rutina SMTP para el envío de los mensajes, de modo que no depende del cliente de correo que tenga instalado el usuario infectado. Para el envío, hace uso de un servidor de correo abierto en Suecia.

El asunto de los mensajes propagados pueden venir en inglés o en sueco. El archivo adjunto tiene extensión .SCR (Screen Saver).

El remitente que aparece en los mensajes infectados no es el verdadero.

Los mensajes creados contienen en su código, el exploit de una vieja vulnerabilidad del Internet Explorer conocida como "IFRAME vulnerability". De este modo, no es necesario abrir el adjunto para que se infecte nuestra computadora con el gusano, si utilizamos una versión anterior a la 5.5 del Outlook Express (o la 5.01 sin el parche correspondiente).

El gusano construye el mensaje con direcciones tomadas de la libreta de Windows (Windows Address Book), y otros archivos en la computadora infectada.

En concreto, examina archivos con extensiones ".lnk", ".exe", ".scr", ".eml", ".htm", ".html", ".dbx" en la carpeta del escritorio (Por ejemplo: C:\WINDOWS\Escritorio), en el menú de inicio (C:\WINDOWS\Menú Inicio\Programas\Inicio), y en todos los subdirectorios. Utiliza diferentes rutinas para extraer las direcciones, de acuerdo al tipo de archivo examinado.

Una de las direcciones seleccionada al azar, es usada para construir la dirección del remitente falso.

El mensaje puede tener alguno de los varios asuntos seleccionados de una lista. También se utilizan varios textos en el cuerpo del mensaje, relacionados con el asunto seleccionado.

Los textos intentan explotar diversas circunstancias políticas actuales, como por ejemplo el actual momento relacionado con la situación entre Irak y Estados Unidos. El hecho que no estén en español, disminuye bastante las posibilidades de propagación entre usuarios de habla hispana.

Estos son los mensajes enviados en inglés (todos con formato HTML):

Ejemplo 1:

Asunto: Is USA always number one?

Texto del mensaje:
Some misguided people actually believe that an
american life has a greater value than those of
other nationalities. Just have a look at this
pathetic screensaver and then you'll know what
i'm talking about.
All the best.

Ejemplo 2:

Asunto: LINUX.

Texto del mensaje:
Are you a windows user who is curious about the
linux environment? This screensaver gives you a
preview of the KDE and GNOME desktops. What's
more, LINUX is a free system, meaning anyone can
download it.

Ejemplo 3:

Asunto: GO USA !!!!

Texto del mensaje:
This screensaver animates the star spangled
banner. Please support the US administration in
their fight against terror. Thanx a lot!

Ejemplo 4:

Asunto: Nazi propaganda?

Texto del mensaje:
This screensaver has been banned in Germany. It
contains a number of animated symbols that can
be related to the nazi culture. What do you
think, is it a legitimate ban or not? Please
answer asap. Thanx!

Ejemplo 5:

Asunto: Disgusting propaganda.

Texto del mensaje:
Hello! My 12 year old doughter received this
screensaver on a CDROM that was sent to her 
through advertising. I find it disturbing that 
children are now being targets of nazi 
organizations. I would appreciate to hear from 
you on this matter, as soon as possible. Thank 
you.

Ejemplo 6:

Asunto: Spy pics.

Texto del mensaje:
Here's the screensaver i told you about. It 
contains pictures taken by one of the US spy 
satellites during one of it's missions over 
iraq. If you want more of these pic's you know 
where you can find me. Bye!

Ejemplo 7:

Asunto: Screensaver advice.

Texto del mensaje:
Do you think this screensaver could be 
considered illegal? Would appreciate if you or 
any one of your friends could check it out and 
answer as soon as humanly possible. Thanx !

Ejemplo 8:

Asunto: Catlover.

Texto del mensaje:
If you like cats you'll love this screensaver. 
It's four animated kittens running around on 
the screen. Contact me for more clipart. Have 
fun! ;-)

Ejemplo 9:

Asunto: G.W Bush animation.

Texto del mensaje:
Here's the animation that the FBI wants to 
stop. Seems like the feds are trying to put an 
end to peoples right to say what they think of 
the US administration. Have fun!

Ejemplo 10:

Asunto: Is USA a UFO?

Texto del mensaje:
Have a look at this screensaver, and then tell 
me that George.W Bush is not an alien ;-)

Archivos adjuntos:

Cada mensaje lleva un adjunto cuyo nombre consta de dos caracteres seleccionados al azar, y con la extensión .SCR.

Por ejemplo:

qu.scr
sg.scr
hg.scr
ev.scr

Además, el gusano envía un solo mensaje en sueco, con el asunto "DISKRIMINERAD !!!!" a las siguientes direcciones:

qruvabzabr@hotmail.com
red@fna.se
debatt@svt.se
susanne.sjostedt@tidningen.to
skolverket@skolverket.se
mary.martensson@aftonbladet.se
katarina.sternudd@aftonbladet.se
cecilia.gustavsson@aftonbladet.se
jessica.ritzen@aftonbladet.se
margareta.cronquist@tidningen.to
annika.sohlander@aftonbladet.se
kerstin.danielson@aftonbladet.se
insandare@tidningen.to
insandare@aftonbladet.se

Este mensaje aparenta ser enviados por la dirección skrattahaha@hotmail.com, pero se trata de una dirección falsa.

Luego, se envía a todas las direcciones recogidas de la libreta y de archivos, como ya vimos, con los siguientes asuntos en sueco y un mensaje correspondiente a cada asunto, en el mismo idioma (el remitente es elegido al azar de la libreta de direcciones):

Är_USA_ett_UFO?
Avskyvä rd_reklam.
Go ack ack ack....
Hakkors.
Katt, hund, kanin.
Korkad president.
Olaglig_skärmsläckare?
Överviktiga_förnedras.
Rashets eller inte?
Suspekta semaforer.

Infección de archivos PE:

El gusano intenta infectar archivos con formato PE, como forma de volver a ejecutarse en la máquina infectada. No hay rutina de propagación en los archivos infectados, es decir, un archivo infectado no puede volver a infectar a otro. Aunque si lo puede hacer el gusano una vez en memoria.

Los archivos infectados aumentan su tamaño en 567 bytes, que es lo que ocupa el virus. El virus intercepta una llamada a la función API ExitProcess() desde el archivo infectado, redireccionándolo a su propio código, añadido al final del archivo infectado. Esto ejecuta el gusano en memoria y luego continúa el proceso normal. El gusano coloca una marca en los archivos infectados para no volver a hacerlo.

En el código del gusano pueden encontrarse el siguiente texto:

[WORM.SWEDENSUX] Coded by Uncle Roger in Hõrnsand, Sweden, 03.03.
I am being discriminated by the swedish schoolsystem.
This is a response to eight long years of discrimination
I support animal-liberators worldwide

Otros síntomas de la infección del gusano:

La creación de un archivo llamado SCANDISK.EXE en el directorio C:\Windows (el verdadero SCANDISK.EXE en las versiones de Windows que lo traen, está en C:\Windows\System o en C:\Windows\Options\Install).

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Archivos de 45,056 byte con nombres al azar y extensión .EXE en c:\Windows

La existencia de las siguientes claves en el registro de Windows (se guardan allí las direcciones recolectadas para el envío de los mensajes):

HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent
HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent2

Cuando se ejecuta el gusano, el mismo se copia en C:\Windows con el nombre de "Scandisk.exe", "tmpworm.exe", y como "xxxxxxxx.exe" (las "xxxxxxxx" representan 8 caracteres al azar). De este archivo pueden llegar a existir una gran cantidad de copias con diferentes nombres, ya que lo genera el gusano cada vez que se ejecuta.

Las siguientes entradas son agregadas al registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanDisk = C:\Windows\SCANDISK.exe

El gusano posee además la capacidad de finalizar la ejecución de varios programas relacionados con la seguridad (antivirus, cortafuegos, etc.), buscando entradas en las claves de inicio del registro ("Run" y "RunServices" de "HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion") cuyos nombres coincidan con algunas de estas referencias:

firewall
f-secure
kaspersky
mcafee
norton
pc-cillin
sophos
symantec
trend micro
virus

En Windows 95, 98 y Me, también examina la clave (y subclaves) "HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \VxD".


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Repare o borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

ScanDisk

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\SS

5. Pinche en la carpeta "SS" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Vuelva a ejecutar sus antivirus en modo escaneo, revisando todos sus discos duros (los antivirus deberán estar actualizados previamente).

9. Repare o borre los archivos detectados como infectados.

Nota: Si el gusano quitó del registro su antivirus, el mismo deberá ser reinstalado. Si ignora esto, aconsejamos reinstalar el antivirus de todos modos.


Información adicional

Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

Y luego actualice su Internet Explorer como se explica aquí:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
19/mar/03 - Alias: Win32.Roger.45056, W32/densus@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS