|
VSantivirus No. 964 - Año 7 - Miércoles 26 de febrero de 2003
W32/Gibe.B. Falsa actualización de seguridad de Microsoft
http://www.vsantivirus.com/gibe-b.htm
Nombre: W32/Gibe.B
Tipo: Gusano de Internet
Alias: Gibe.B, Gibe_B, I-Worm.Gibe.B, W32/Gibe.B@MM, W32/Gibe-D, Win32.Gibe.B, Win32/Gibe.B@mm, WORM_GIBE.B, WORM_GIBE.D, WORM_GIBE.DR
Relacionado: mIRC/Simp-Fam
Tamaño: 155,648 bytes
Fecha: 24/feb/03
Plataforma: Windows 32-bits
Gibe.B (reportado como Gibe.D por algunos fabricantes de antivirus el 24 de febrero, (ver "W32/Gibe.D. Falsa actualización de seguridad de Microsoft",
http://www.vsantivirus.com/gibe-d.htm), comenzó a propagarse en forma masiva el 25 de febrero (sin embargo, a dicha fecha aún no puede considerarse de riesgo en países de habla hispana, donde prácticamente no hay infecciones detectadas).
Según MessageLabs, a la fecha han sido detectadas 318 incidencias en Australia, 165 en Gran Bretaña y 14 en Taiwan. Aún más que el tan promocionado LoveGat.C.
El gusano se propaga a través del correo electrónico, los canales de IRC, redes locales y redes P2P (Peer-To-Peer). Su mayor "gancho" para atrapar incautos, es simular ser una actualización de Microsoft (al propagarse por e-mail).
El archivo que se propaga vía e-mail es un "dropper", un programa que "gotea" o libera otros archivos al ejecutarse.
Escrito en Visual Basic 6, ese archivo, enviado como adjunto, ocupa 155 Kb. Requiere la librería MSVBVM60.DLL para ejecutarse, lo que no es problema en las versiones más actuales de Windows (está incluido), o si se ha instalado algún programa anterior que lo hubiera requerido (Windows 95 y las primeras de Windows 98).
Cuando se ejecuta, el "dropper" verifica si ya está instalado en el sistema, examinando la presencia de la siguiente clave:
HKLM\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Messenger Setup
Dentro de "Messenger Setup" busca el siguiente valor:
Coded = ... by Begbie
Otros valores existentes en dicha clave:
Server Not found
Email Address Not found
Disp Name [nombre al azar]
LookName [nombre copia del gusano en C:\Windows]
Si existe el valor "Coded", etc., entonces el gusano despliega una ventana con el siguiente mensaje y luego detiene su ejecución:
Microsoft Internet Update Pack
This update does not need to be installed on this system.
[ OK ]
Si no encuentra la clave anterior, entonces asume que el sistema no ha sido infectado, mostrando
el siguiente acuerdo de licencia, que se supone proviene de Microsoft (por supuesto, esto es
falso. Ni Microsoft, ni ninguna compañía de software que se precie de
responsable, enviaría a sus clientes algún tipo de software no solicitado, adjunto a clase alguna de mensajes. Microsoft tampoco publica sus actualizaciones de seguridad para ser distribuidas a través de redes como
KaZaa, etc.):
ALL MICROSOFT PRODUCTS AND RELATED DOCUMENTS ARE
PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND!
Microsoft and/or its respective suppliers hereby disclaim all
warranties and conditions with regard to this information,
including all warranties and conditions of merchantability,
whether express, implied or statutory, fitness for a particular
purpose, title and non-infringement. Microsoft does not warrant
that the functions for the software or code will meet your
requirements, or that the operation of the software or code will
be uninterrupted or error-free, or that defects in the software
or code can be corrected. Furthermore, Microsoft does not
warrant or make any representations regarding the use or the
results of the use of the software, code or related
documentation in terms of their correctness, accuracy,
reliability, or otherwise. No oral or written information or
advice given by Microsoft or its authorized representatives
shall create a warranty or in any way increase the scope of this
warranty. Should the software or code prove defective after
Microsoft has delivered the same, you, and you alone, shall
assume the entire cost associated with all necessary servicing,
repair or correction. In no event shall Microsoft and/or its
respective suppliers be liable for any special, indirect or
consequential damages or any damages whatsoever resulting from
loss of use, data or profits, whether in an action of contract,
negligence or other tortious action, arising out of or in
connection with the use or performance of software, documents,
provision of or failure to provide services, or information
available from the services.
COPYRIGHT NOTICE.
Copyright c 2003 Microsoft Corporation, One Microsoft Way,
Redmond, Washington U.S.A. All rights reserved.
Sin necesidad de pulsar tecla alguna, el dropper se copia en la carpeta de archivos temporales de Windows, con alguno de los siguientes nombres (pueden tener también extensión .ZIP):
Cooking with Cannabis.exe
Free XXX Pictures.exe
Hallucinogenic Screensaver.exe
IEPatch.exe
I-Worm_Gibe Cleaner.exe
KaZaA upload.exe
Magic Mushrooms Growing.exe
My naked sister.exe
Porn.exe
PS2 Emulator.exe
Sex.exe
Sick Joke.exe
XboX Emulator.exe
XP update.exe
XXX Video.exe
El dropper busca la carpeta de archivos compartidos del KaZaa y si la encuentra, se copia en ella con los mismos nombres de la lista anterior.
Para ello examina el contenido de la clave "DownloadDir" en la siguiente rama:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
También intenta habilitar la opción de carpetas compartidas en el registro de Windows, si dicha opción estuviera deshabilitada:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir99 = 012345:[ubicación del gusano en la carpeta TEMP]
DisableSharing 0
Luego de ello, intentará infectar otras computadoras conectadas en una red local (LAN). Examina las unidades de red disponibles, buscando las siguientes carpetas:
Windows
WinMe
Win95
Win98
Si alguna de esas carpetas es encontrada, entonces el dropper libera un archivo llamado "WebLoader.exe" en la siguiente subcarpeta:
X:\WINDOWS\Start menu\Programs\Startup
"X:\WINDOWS" corresponde a la letra de la unidad, y a la carpeta obtenida de la lista anterior.
Ello hace que cuando la computadora remota se reinicie, se infecte. Adicionalmente, el dropper intenta localizar carpetas de inicio de sistemas basados en Windows NT (2000, XP):
\Documents and Settings\All Users\Start menu\Programs\Startup
\Winnt\Profiles\All Users\Start menu\Programs\Startup
Si alguna de esas carpetas es encontrada, el dropper también se copia en ellas como "WebLoader.exe", con el mismo resultado de infectar dichas computadoras cuando estas se reinicien.
Luego, el dropper se copia a si mismo como GIBE.DLL:
C:\Windows\GIBE.DLL
En todos los casos, "C:\Windows" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como "C:\WinNT" en Windows NT/2000).
También se copia allí con un nombre generado al azar, por ejemplo:
C:\Windows\G590213.EXE
También crea archivos en la carpeta System:
C:\Windows\System\MSWinsck.OCX
Este archivo es un componente estandar de Visual Basic (Visual Basic OCX).
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El dropper también intentará propagarse a través de los canales de IRC, sobrescribiendo el archivo SCRIPT.INI del mIRC, si este programa estuviera en la computadora infectada.
Dicho SCRIPT.INI contiene las instrucciones para enviar la copia del dropper en la carpeta de archivos temporales, a todos los usuarios que participen de los mismos canales de chat que el usuario infectado.
El dropper crea tres componentes adicionales más en la carpeta de Windows:
C:\Windows\DX3DRndr.exe
C:\Windows\MSBugAdv.exe
C:\Windows\WMSysDx.bin
C:\Windows\MailViews.db
Luego, modifica el registro para que "DX3DRndr.exe" se ejecute en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DxLoad = C:\Windows\DX3DRndr.exe
Este archivo se encarga del envío masivo del dropper como un gusano a todos las direcciones encontradas dentro del archivo "MailViews.db" y en la libreta de direcciones de Windows (.WAB). Para esto último, examina la siguiente entrada en el registro:
HKCU\Software\Microsoft\Wab\WAB4\Wab File Name
Además, el gusano intenta buscar direcciones en los mensajes de los grupos de noticias (newsgroups), desechando aquellas que contengan algunas de estas cadenas:
noemail
noaddress
no.email
no.address
none
spam
Esta es la lista de servidores NNTP (Network News Transfer Protocol) a los que el gusano intentará conectarse:
12-254-107-9.client.attbi.com
141.4.4.45
142.155.129.4
194.133.33.10
202.108.36.140
202.184.155.10
207.230.236.9
207.41.8.25
210.221.55.119
64.14.86.166
acs2.byu.edu
asics.co.jp
baldrick.blic.net
baracka.rz.uni-augsburg.de
blob.linuxfr.org
bolo.nais.com
bolzen.logivision.net
bossix.informatik.uni-kiel.de
butthead.cybertrails.com
concern.wolters-kluwer.nl
correo.uvigo.es
cypress.alberni.net
demonews.mindspring.com
flis.man.torun.pl
ftp.tomica.ru
gail.ripco.com
glu08.dna.affrc.go.jp
graf.cs.uni-magdeburg.de
grieg.uol.com.br
gsc.gsi.com
gwdu112.gwdg.de
hermes1.rz.hs-bremen.de
htsrv.attack.ru
humbolt.nl.linux.org
chivato.uah.es
iis.tordata.se
inetgate.tp.ac.sg
info.rgv.net
inx3.inx.net
l1.newaygo.mi.us
lord.usenet-edu.net
lugnet.com
moon.ees.hokudai.ac.jp
msnews.microsoft.com
narzisse.hrz.tfh-wildau.de
natasha.ncag.edu
neptun.beotel.yu
news.abcs.com
news.aoc.gov
news.avcinc.com
news.avicenna.com
news.caiwireless2.com
news.caribsurf.com
news.cofc.edu
news.coli.uni-sb.de
news.cs.tu-berlin.de
news.datast.net
news.detnet.com
news.discom.net
news.dma.be
news.dsuper.net
news.fwi.com
news.fxalert.com
news.gamma.ru
news.gcip.net
news.gdbnet.ad.jp
news.htwm.de
news.ind.mh.se
news.inet.gr
news.informatik.uni-bremen.de
news.invarnet.inwar.com.pl
news.itcanada.com
news.jerseycape.net
news.konkuk.ac.kr
news.krs.ru
news.louisa.net
news.man.torun.pl
news.math.cinvestav.mx
news.matnet.com
news.mindvision.com.au
news.netcarrier.com
news.nchu.edu.tw
news.odata.se
news.phoenixsoftware.com
news.ramlink.net
news.savvis.net
news.sexzilla.com
news.srv.cquest.utoronto.ca
news.terra-link.com
news.tln.lib.mi.us
news.tohgoku.or.jp
news.ttnet.net.tr
news.tu-ilmenau.de
news.uni-hohenheim.de
news.unitel.co.kr
news01.uni-trier.de
news1.sinica.edu.tw
news4.odn.ne.jp
newscache0.freenet.de
newscache1.freenet.de
newscache2.freenet.de
newscache3.freenet.de
newscache4.freenet.de
newscache5.freenet.de
newsfeed.ctrl-c.liu.se
news-read2.maxwell.syr.edu
newssvr20-ext.news.prodigy.com
nserver.enc-1.com
oak.cise.ufl.edu
penelope-gw.oswego.edu
pluto.sm.dsi.unimi.it
pronews.centramedia.net
proxy.dvgd.ru
pumba.class.udg.mx
ran.age.ne.jp
rebell.ghks.de
rtcsrv5.realtech.de
s1.texinet.com
server.internetoutlet.net
server.pspu.ac.ru
sparky.midwest.net
sunu789.rz.ruhr-uni-bochum.de
tabloid.uwaterloo.ca
targetvision.com
test.easynews.com
tiger.aba.net.au
tomcat.admin.navo.hpc.mil
tomcat.med.uoeh-u.ac.jp
tthsc5.ttuhsc.edu
tyr.eiknes.se
vanaema.matti.ee
vulkan.euv-frankfurt-o.de
weber.techno-link.com
wisipc.weizmann.ac.il
wixer052.greyware.com
www.focalnet.com
yucatan.franconews.org
La lista se encuentra en el archivo "WMSysDx.bin". Por defecto, la cadena "[wait]" es escrita adelante de cada servidor que no ha respondido. Cuando la conexión es exitosa, el gusano le agrega la cadena "[puerto]", donde "puerto" es el usado para conectarse.
El gusano guarda todas las direcciones encontradas en el archivo "MSErr.bak":
C:\Windows\MSErr.bak
Los mensajes son generados al azar a partir de una lista interna de nombres, direcciones, asuntos, texto y cabezales.
El asunto es seleccionado al azar con componentes de esta lista:
Latest, New, Last, Newest
Internet, Microsoft, Network
Security
Pack, Update, Patch
Ejemplos:
Latest Microsoft Security Pack
New Internet Security Update
Internet Security Pack
El nombre del remitente es generado al azar a partir de las siguientes partes:
MS, Microsoft, Corporation
Network, Internet
Security
Center, Department, Section, Division
Customer, Public, Technical
Support, Assistance, Services
Ejemplos:
Microsoft Public Support
MS Security Department
Corporation Internet Support
En algunos casos, el gusano crea los asuntos a partir de los siguientes componentes:
FW:, FWD:, RE:
Check, Check out, Prove, Taste, Try Look at,
Take a look at, Look at, See Watch
this, these, the, that
correction, security
update, patch, pack
which,
came, comes
from
the
Microsoft, M$ Corporation
Ejemplos:
FW: Check this security update which came from Microsoft
RE: Take a look at the correction patch from the M$ Corporation
La dirección de correo del remitente, es armada con algunas letras y números al azar, seguidas de la arroba y un nombre de dominio seleccionado con elementos de la siguiente lista:
newsletters, support, technet, updates, advisor
msdn, microsoft, ms, msn
com, net
Ejemplos:
codwmbitj_186377@newsletters.microsoft.com
cajdfd89@support.msdn.net
El cuerpo del mensaje es un texto plano o con formato HTML. El gusano examina el corriente mes y año e inserta ese dato en el cuerpo del mensaje.
El mensaje de texto plano (solo texto o sin formato), luce así:
Microsoft Customer
this is the latest version of security update, the
"February 2003, Cumulative Patch" update which eliminates all
known security vulnerabilities affecting Internet Explorer,
Outlook and Outlook Express as well as five newly discovered
vulnerabilities. Install now to protect your computer from these
vulnerabilities, the most serious of which could allow an attacker to
run executable on your system. This update includes the functionality
of all previously released patches.
System requirements:
Win 9x/Me/2000/NT/XP
This update applies to:
Microsoft Internet Explorer, version 4.01 and later
Microsoft Outlook, version 8.00 and later
Microsoft Outlook Express, version 4.01 and later
Recommendation:
Customers should install the patch at the earliest opportunity.
How to install:
Run attached file. Click Yes on displayed dialog box.
How to use:
You don't need to do anything after installing this item.
Microsoft Technical Support is available at
http://support.microsoft.com/
For security-related information about Microsoft products,
please visit the Microsoft Security Advisor web site at
http://www.microsoft.com/security
Contact us at
http://www.microsoft.com/isapi/goregwiz.asp?target=3D/contactus/=
contactus.asp
Please do not reply to this message. It was sent from an unmonitored
e-mail address and we are unable to respond to any replies.
Thank you for using Microsoft products.
With friendly greetings,
Microsoft Public Support
_______________________________________________________
=c2003 Microsoft Corporation. All rights reserved. The names of =
the actual companies and products mentioned herein =
may be the trademarks of their respective owners.
La versión HTML (o con formato), posee el mismo texto con algunas variantes sin importancia, mostrando un cuadro azul con las opciones para "System requirements", "This update applies to", "Recommendation", "How to install" y "How to use".
El gusano también genera un falso mensaje de rebote. Inserta además el código para aprovecharse de la vulnerabilidad "IFrame", que hace que el adjunto se ejecute automáticamente al leerlo o verlo en la vista previa del Outlook Express, si no se tiene actualizado el Internet Explorer.
En algunos casos, el gusano agrega el siguiente texto al pie de los mensajes:
---
Outgoing mail is certified Virus Free.
Checked by [nombre] anti-virus system (http://www.[nombre].com
Release Date: [fecha]
Donde suplanta [nombre] por alguna de las siguientes opciones:
TrendMicro
F-Secure
Symantec
Kaspersky
NOD32
McAfee
Sophos
DrWeb32
El gusano se adjunta al mensaje como un archivo .EXE o .ZIP de 155,648 bytes, con un nombre generado con partes al azar.
[nombre]xxx.exe (o .zip)
Donde las "xxx" son tres o más dígitos al azar, y [nombre] es una de las siguientes opciones:
Patch
Update
q
p
Ejemplos:
PATCH368.exe
Q382381.exe
Update584.zip
El gusano intenta enviar los mensajes infectados a través de un listado de servidores SMTP guardados en el archivo "WMSynDx.bin".
El gusano también intenta acceder al sitio "ww2.fce.vutbr.cz" para incrementar un contador oculto, seguramente con la intención de llevar una estadística de computadoras infectadas.
Además, el gusano ejecuta otro archivo liberado por el dropper (MSBugAdv.exe) con el parámetro "suck" en la línea de comandos (MSBugAdv.exe -suck).
Si el archivo se ejecuta sin esa opción, intentará abrir el sitio Web de soporte de Microsoft, en el navegador por defecto. De otro modo (si se ejecuta con el mencionado parámetro), el archivo queda activo en memoria como un proceso de servicio.
El código del gusano contiene el siguiente texto:
Coded …by Begbie, Slovakia
Reparación manual
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
DX3DRndr
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
WMSysDx.bin; WebLoader.exe; SCRIPT.INI
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione Todos los archivos y carpetas
3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente:
WMSysDx.bin; WebLoader.exe; SCRIPT.INI
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
11. Reinicie su computadora
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Y luego actualice su Internet Explorer como se explica aquí:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|