IMPORTANTE:
Algunos fabricantes de antivirus, llaman Gibe.C al gusano W32/Swen.A.
W32/Gibe.C (aparecido en marzo de 2003), es diferente al W32/Swen.A (setiembre 2003). Más información y la descripción completa de
W32/Swen.A en el siguiente enlace:
W32/Swen.A. Falsa actualización crítica de Microsoft
http://www.vsantivirus.com/swen-a.htm |
VSantivirus No. 993 - Año 7 - Jueves 27 de marzo de 2003
W32/Gibe.C. Extensa modificación de archivos y registro
http://www.vsantivirus.com/gibe-c.htm
Nombre: W32/Gibe.C
Tipo: Gusano de Internet
Alias: W32.Gibe.C@mm, W32.HLLW.Begbie@mm, I-Worm.Gibe.d
Tamaño: 167,936 bytes
Fecha: 17/mar/03
Plataforma: Windows 32-bits
Es una variante de W32/Gibe.B. Este gusano intenta propagarse a través del correo electrónico, KaZaA, e IRC. Utiliza Microsoft Outlook para propagarse a todos los contactos de la libreta de direcciones de Windows.
Cuando un archivo infectado es ejecutado, se muestra una ventana de diálogo con un texto que afirma tratarse de una actualización de seguridad de Microsoft.
Recuerde que ni Microsoft (ni ninguna compañía de software que se precie de responsable), enviaría a sus clientes algún tipo de software no solicitado, adjunto a clase alguna de mensajes. Microsoft tampoco publica sus actualizaciones de seguridad para ser distribuidas a través de redes como KaZaa.
Si se ejecuta y aparece la ventana mencionada, el gusano libera al mismo tiempo, una serie de archivos en el sistema.
También crea copias de si mismo, en la carpeta de archivos compartidos del KaZaa. De este modo, otros usuarios, al descargar y ejecutar cualquiera de esos archivos, también serían infectados.
Esta versión, muestra una ventana con el siguiente mensaje al ejecutarse:
Microsoft Internet Update Pack
This update does not need to be installed on this system.
[ OK ]
Intenta comprimirse a si mismo si encuentra WinRAR o WinZIP en el sistema.
Muestra mensajes humorísticos al azar con botones de [YES] y [NO] para continuar (la infección ocurre siempre, sin importar lo que se conteste).
Intenta finalizar numerosos procesos relacionados con conocidos antivirus y antitroyanos, etc.
Se copia a si mismo en una subcarpeta dentro del directorio TEMP (C:\Windows\TEMP por ejemplo), con uno de los siguientes nombres seleccionado al azar:
BillGates.exe
Cooking with Cannabis.exe
Download Accelerator.exe
Free X.exe
Hackers Guide.exe
Hallucinogenic Screensaver.exe
ICQ upgrade.exe
IEPatch.exe
KaZaA spyware patch.exe
KaZaA upload.exe
Magic Mushrooms Growing.exe
My naked sister.exe
Porn.exe
PS2 Emulator.exe
Psycho.exe
Sex.exe
Sick Joke.exe
WinZip.exe
Worm_Gibe.C Cleaner.exe
Xbox Emulator.exe
XP update.exe
XXX Video.exe
Si el gusano encuentra las utilidades WinRAR o WinZIP, intenta comprimirse a si mismo con uno de los nombres de archivos vistos antes, pero con la extensión .ZIP o .RAR.
También se copia a si mismo como:
C:\Windows\<nombre al azar>.exe
C:\Windows\<nombre al azar>.dll
"C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También copia el código del virus como:
C:\Windows\<nombre al azar>.exe (96 Kb)
Y los siguientes archivos con datos únicamente:
C:\Windows\Swen.lst
C:\Windows\\Temp\Searched.lst
Modifica las siguientes claves del registro:
HKLM\SOFTWARE\Microsoft\CurrentVersion\Run
<nombre al azar> = C:\Windows\<nombre al azar>.exe
HKEY_CLASS_ROOT\exefile\shell\open\command\
(Predeterminado) = "C:\Windows\<nombre al azar>.exe %1 %*"
HKEY_CLASS_ROOT\comfile\shell\open\command\
(Predeterminado) = "C:\Windows\<nombre al azar>.exe %1 %*"
HKEY_CLASS_ROOT\batfile\shell\open\command\
(Predeterminado) = "C:\Windows\<nombre al azar>.exe %1 %*"
HKEY_CLASS_ROOT\piffile\shell\open\command\
(Predeterminado) = "C:\Windows\<nombre al azar>.exe %1 %*"
HKEY_CLASS_ROOT\regfile\shell\open\command\
(Predeterminado) = "C:\Windows\<nombre al azar>.exe failure"
HKEY_CLASS_ROOT\scrfile\shell\open\command\
(Predeterminado) = "C:\Windows\<nombre al azar>.exe" %1 /S
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
<nombre al azar>
El gusano deshabilita el editor del registro (Regedit.exe). Cuando se intenta ejecutar, se muestra el siguiente mensaje falso:
Exception
Following error occured:
Memory access violation in module kernel32 at 0167:0faffd9c
La dirección es una de las siguientes:
0167:0faffd9c
0167:bff7a138
0167:0ab38e9f
0167:e12c93ff
Vea información ampliada de este gusano en el siguiente enlace:
W32/Gibe.B. Falsa actualización de seguridad de Microsoft
http://www.vsantivirus.com/gibe-b.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|