|
VSantivirus No. 515 - Año 6 - Miércoles 5 diciembre de 2001
Nombre: W32/Goner.A
Tipo: Gusano de Internet
Alias: I-Worm.Goner, Gone, W32/Goner@MM, W32/Goner.A@mm, W32/Goner-A, Win32.Goner.A@mm
Tamaño: 38,912 bytes
Fecha: 4/dic/01
Este gusano está desarrollado utilizando Visual Basic 6 y codificado como un ejecutable de Windows, Portable Executable (PE), con extensión .SCR (salvador de pantalla). Está comprimido con la utilidad UPX 0.9, ocupando unos 38,912 bytes, siendo su tamaño real de 148 Kb. Tiene la característica de distribuirse vía e-mail utilizando Outlook y también IRC e ICQ.
El icono que muestra el archivo, representa una silueta del personaje Dark Vader de Star Wars (Guerra de las Galaxias).
Este gusano llega vía email como archivo adjunto "gone.scr", y ha sido reportado en las últimas horas como de gran propagación al menos en países anglosajones.
El mensaje que utiliza para enviarse, posee estas características:
Asunto: Hi
Texto:
How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
Archivo adjunto: GONE.SCR
Si ejecutamos este adjunto, se muestra una ventana con este mensaje y el título
"About":
pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar. k9_unit, stef16 ^Reno
greetings also to nonick2 out
there where ever you are
Luego, se muestra un mensaje de error falso:
Error
Error While Analyze DirectX!
[ Aceptar ]
Cuando aparece esta ventana en pantalla, el gusano se envía automáticamente a todos los contactos que encuentra en la libreta de direcciones de Outlook, utilizando comandos MAPI.
Luego, el gusano se copia al directorio correspondiente a la variable
%System% como GONE.SCR (generalmente es C:\Windows\System\GONE.SCR)
También modifica el registro para ejecutarse en próximos reinicios de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
c:\windows\system\gone.scr = c:\windows\system\Gone.scr
El gusano además de propagarse vía Outlook, también utiliza el cliente de chat, mIRC, para habilitar una puerta trasera en la computadora infectada (backdoor).
Para ejecutarse cada vez que se usa el mIRC, el gusano busca el archivo de control
MIRC.INI, crea el archivo REMOTE32.INI en ese mismo directorio y agrega una entrada al mismo en
MIRC.INI, que al ejecutarse se une (al azar, no siempre) al canal de IRC
#pentagonex en el servidor twisted.ma.us.dal.net.
El autor del gusano utiliza esto para iniciar ataques de negación de servicio (D.o.S) a otros canales de IRC y a los usuarios conectados al mismo canal del usuario infectado.
Para propagarse a través del ICQ, el gusano suplanta la librería
ICQMAPI.DLL, copiando este archivo desde su ubicación C:\PROGRAM FILES\ICQ\ a la carpeta del sistema de Windows
(C:\Windows\System). Con ello, puede llamar una función API del ICQ
(ICQAPI), con la cuál obtendrá información de otros usuarios y se enviará a todos los usuarios en línea de una lista que es creada por el virus.
Responde a las demandas del programa cliente, buscando las ventanas de diálogo de las siguientes listas:
Send Online File
Send Online File Request
Periódicamente busca las siguientes ventanas del ICQ y las cierra:
User has declined your request
Can't Send File Request
Send Online File [User Is in N/A mode]
Send Online File [User Is Away]
Send Online File [User Is Occupied]
Send Online File [User Is in DND mode]
User has declined your request
Can't Send File Request
Send Online File Request [User Is in N/A mode]
Send Online File Request [User Is Away]
Send Online File Request [User Is Occupied]
Send Online File Request [User Is in DND mode]
El gusano puede detectar la presencia de los siguientes procesos en la memoria de la computadora infectada y de borrar todos los archivos en los directorios donde se encuentren los ejecutables que se indican en la siguiente lista. Todos ellos corresponden a diferentes utilidades antivirales, cortafuegos, etc.:
APLICA32.EXE
AVCONSOL.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
NAVAPW32.EXE
NAVW32.EXE
PCFWallIcon.EXE
PW32.EXE
SAFEWEB.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
Si existe el directorio C:\SAFEWEB\, el gusano borrará todos los archivos allí existentes.
En cualquiera de los casos anteriores, si por no permitirlo el proceso activo, el archivo no pudiera ser borrado, el gusano creará las instrucciones necesarias para hacerlo en el próximo inicio de Windows, a través de la creación o modificación del archivo
WININIT.INI.
El gusano puede además, finalizar la sesión actual de Windows.
El gusano intenta no aparecer en la lista de tareas (CTRL+ALT+SUPR), registrándose a si mismo como un servicio. Sin embargo, el objeto Outlook Application Object que utiliza, queda visible en dicha lista.
También crea una entrada en WININIT.INI con las instrucciones para borrar su copia actual, con la intención de pasar desapercibido.
En las propiedades del archivo GONE.SCR, pueden encontrarse estos datos:
Comentarios: Power Puff girls rulz! ;>
Nombre del producto: pentagone
Nombre interno: gone
Nombre original del archivo: gone.scr
Versión del producto: 0.00.0003
Herramienta para limpiar automáticamente
el Goner.A
El programa AntiGoneEs
(240 Kb) contra el virus W32/Gone.A es una herramienta gratuita proporcionada por
BitDefender. Sólo descárguela y ejecútela en su PC.
http://www.bitdefender.com/descarga/AntiGoneEs.exe
Cómo borrar manualmente el virus
Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Teclee GONE.SCR y pulse ENTER
3. Borre GONE.SCR si aparece
4. Teclee REMOTE32.INI y pulse ENTER
5. Borre REMOTE32.INI si aparece
6. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
8. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada
"C:\Windows\System\Gone.scr" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
11. Reinicie en modo normal, y ejecute uno o dos antivirus al día (ver
Notas).
Notas:
a. Tenga en cuenta que si el gusano borró su antivirus, deberá reinstalar el mismo, así como otro software afectado (ZoneAlarms, etc.). De igual modo deberá proceder con la instalación del ICQ y las modificaciones en el archivo
MIRC.INI del mIRC, borrando la línea que hace referencia a
REMOTE32.INI.
b.
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Glosario:
ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
ICQ ("I Seek You", Te busco) - Programa que ofrece un servicio de mensajería en línea a través de Internet, permitiendo hacer saber a otras personas conocidas, que uno está conectado (online). A través de él se pueden intercambiar mensajes y archivos, conversar (chat), establecer conexiones de voz y video, etc.
MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
API (Application Program Interface). Interface de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|