|
VSantivirus No. 1105 Año 7, Jueves 17 de julio de 2003
W32/Gruel.A. Falsos mensajes de Microsoft y Symantec
http://www.vsantivirus.com/gruel-a.htm
Nombre: W32/Gruel.A
Tipo: Gusano de Internet
Alias: W32/Gruel-A, W32/Fakerr@MM, W32.Gruel@MM, W32.Gruel@mm, Win32.Gruel, Win32/Gruel.A
Variantes:
W32/Gruel.B, W32/Gruel.C, W32/Gruel.D, W32/Gruel.H
Plataforma: Windows 32-bit
Tamaño: 102,400 bytes
Fecha: 16/jul/03
Programado en Visual Basic, este gusano, de envío masivo a través del correo electrónico, se disfraza como una actualización de Windows enviada por Microsoft, o como una herramienta de Symantec, para remover al propio
virus.
Se auto envía a direcciones de correo tomadas de la libreta del Outlook y Outlook Express de la computadora infectada.
También es capaz de borrar archivos y de copiarse él mismo en carpetas compartidas utilizadas por KaZaa, de modo que puede ser descargado por otros usuarios, los que se infectarán al ejecutar esos archivos.
El gusano deshabilita múltiples características de Windows, como el administrador de tareas, las opciones de apagar, etc.
También cambia la asociación con varios tipos de archivos, como .EXE, etc., de modo de ejecutarse él antes, y borra numerosos archivos en las carpetas de Windows y sus subcarpetas.
Compromete la seguridad al cambiar al azar las contraseñas del usuario infectado, y además oculta el disco C a la vista desde el explorador de Windows.
El título de la ventana del Internet Explorer es cambiado por el siguiente:
kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE
I dOn'T hAvE NoThInG tO dO!!
Los mensajes infectados recibidos, pueden tener estas características:
Versión 1:
Asunto: Microsoft Windows Critical Update.
Datos adjuntos: [uno de los siguientes]
antivirus_patch.exe
rundll32.exe
windows critical update 088562.exe
Texto:
Critical Update: The Microsoft Windows updates found
on this patch include fixes to following Windows
operating systems: Any update that is critical to
the operation of your computer is considered a
Critical Update, and is automatically selected for
installation during the scan for available updates.
This patch is provided to help resolve known issues,
and to protect your computer from known security
vulnerabilities and all kinds of viruses. Whether a
patch applies to your operating system, software
programs, or hardware, it is listed in the Critical
Updates category, like this patch attached. For
Support please contact us at support@microsoft.com.
Versión 2:
Asunto: Symantec: New serious virus found
Datos adjuntos: [uno de los siguientes]
mail key 1.3 trial.exe
officexptrial.exe
rundll32.exe
symantec_norton_tool.exe
Texto:
Norton Security Response: has detected a new virus
in the Internet. For this reason we made this tool
attachement, to protect your computer from this
serious virus. Due to the number of submissions
received from customers, Symantec Security Response
has upgraded this threat to a Category 5 (Maximum ).
Prevention, using the W32.Gruel@mm Tool:
To prevent or remove W32.W32.Gruel@mm , apply this
attachment tool as quickly as possible. This is the
easiest way to remove/prevent this threat.
Technical Details:
Also Known As: W32.Gruel@mm , W32.KillerGuate
Type: Virus
Infection Length: 45,195 bytes (zip file), 45,528 bytes
(executable) (45KB approx)
Systems Affected: Windows 95, Windows 98, Windows NT,
Windows 2000, Windows XP, Windows Me, Windows 2003
Systems Not Affected: Macintosh, OS/2, UNIX, Linux
Additional information:
Security Response has received many submissions of
corrupted W32.W32.Gruel@mm . A specific detection for
this type of infected file has been added as
W32.W32.Gruel@mm . This detection is available in virus
definitions dated June 12 2003. Be sure to delete the
files detected as W32.W32.Gruel@mm .
Note: If you believe your computer may already be
infected or just want to protect it agains
W32.W32.Gruel@mm , please download this tool now.
Symantec Corporation.
Last Updated on: July 13, 2003 04:55:35 PM
Note que éste último simula ser una cura para el propio virus, el cuál en realidad es el adjunto (recuerde que jamás recibirá un
archivo no solicitado de ninguna compañía, y menos de una dedicada a fabricar antivirus).
Cuando se ejecuta, el gusano muestra una ventana falsa, con el estilo de Windows XP, donde se informa de un error de Windows, y se pide reportarlo a Microsoft:
Windows
Windows has encountered a problem a needs to
close. We are sorry for the inconvenience.
If you were in the middle of something, the
information you were working on might be lost.
Please tell microsoft about this problem.
We have created an error report thet you cand send to
us. we will treat this report as confidential and
anounymous.
To see what data this error report contains.
Windows X found serious error.
[Send Error] [Send and Close]
Si el usuario pincha en el botón [Send Error], se muestra otra ventana falsa con el mismo formato que la anterior, y con otros botones:
Windows
Windows has encountered a problem a needs to
close. We are sorry for the inconvenience.
Event ID: 1001
Source: Save Dump
Description:
The computer has rebooted from a bugcheck. The bugcheck was:
0xc000021a (0xe1270188, 0x00000001, 0x00000000, 0x00000000).
Microsoft Windows NT (v15.1381). A dump was saved in:
C:\WINNT\MEMORY.DMP.
MachineImageType i386
Number Processors 1
BugCheckCode 0xc000021a
Bugcheck Parameter1 0xe1270188
Windows X found serious error.
[ << Back ] [ Close ]
El botón [Close] no funciona, y [<< Back] vuelve al mensaje anterior. Al mismo tiempo, se ejecutan las rutinas de envío de mensajes y las que copian el gusano al disco, y modifican el registro.
Si se pincha en [Send and Close], se producen las siguientes acciones:
- Desaparece la barra de tareas
- Desaparece la opción "Ejecutar" del menú "Inicio"
- Desaparecen las opciones "Reiniciar" y "Apagar" del menú "Inicio/Apagar"
- El disco C ya no es visible y desaparecen todos sus iconos.
- Se abre la bandeja del CD-Rom
- Se abren múltiples ventanas de dispositivos del Panel de Control (Sonidos y Multimedia, Teclado, Modems, Mouse, Sistema, Agregar o quitar programas, Fecha y hora, Propiedades del escritorio, Opciones de
Internet).
- Se deshabilita la bandeja del sistema (System Tray)
- El siguiente mensaje es mostrado, y el mismo no puede ser movido ni
cerrado:
kIlLeRgUaTe
Your computer now is mine, Why? Because I didn't
had nothing to do and I thought, why not make the
evil? Remember NOW YOUR PC IS IN MY POWER
Windows Sucks! I can't stand it anymore! Windows has
always sucked. Wake up people! It's a scam! You don't
need a faster computer. You need a better operating
system. Microsoft continuingly makes money by selling
you the latest and greatest Windows. The latest
Windows version is always the most inefficient yet,
slowing down your fast computer. Also, now you have
to upgrade all your other software too because
different Windows versions are not compatible with
each other! A hidden cost not mentioned at all. It's
part of the scam. Capitalism Sucks!, Communism Sucks.
KILLERGUATE.
[ Retry ] [ Cancel ]
Solo permanecen las ventanas abiertas. Los mensajes generados por el propio gusano quedan
obscurecidos, salvo el último.
El gusano también intenta borrar los siguientes archivos:
c:\autoexec.bat
c:\config.sys
c:\winnt\system32\*.dll
c:\winnt\system32\ntoskrnl.exe
c:\winnt\system32\command.com
c:\winnt\regedit.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\command.com
c:\windows\regedit.exe
c:\winnt\system32\*.exe
c:\winnt\system32\*.com
c:\winnt\system32\*.dll
c:\winnt\system32\*.ocx
c:\windows\system32\*.dll
c:\windows\system32\*.ocx
c:\windows\system32\*.exe
c:\windows\system32\*.com
c:\winnt\program files\norton antivirus\navw32.exe
c:\windows\program files\norton antivirus\navw32.exe
También intenta borrar las siguientes carpetas:
c:\winnt\system
c:\windows\system
c:\winnt\system32
c:\windows\system32
c:\inetpub\wwwroot
Cuando se ejecuta el gusano con el botón [Send Error] visto antes, se copia a si mismo con
alguno de los siguientes nombres de archivo, con los atributos de oculto y de sistema:
c:\proyecto1.exe
c:\root.exe
c:\rundll32.exe
También cambia los siguientes valores del registro:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_CLASSES_ROOT\htafile\shell\open\command
HKEY_CLASSES_ROOT\htfile\shell\open\command
En todos ellos se agrega como:
(Predeterminado) = [archivo del gusano] %1
Como resultado, al abrirse archivos con extensión .EXE, .COM, .BAT, .PIF, .HTA y .HT, se ejecuta el gusano.
Cambia o crea los siguientes valores del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MediaPath = [archivo del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Rundll32.exe = [archivo del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX
DevicePath = [archivo del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SETUP
NetCache = [archivo del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
ProxyDevice = [archivo del gusano]
HKCU\Software\kIlLeRgUaTe 1.03
HKCU\Software\VB and VBA Program Settings\KILLERGUATE
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDrives = 4
NoFind = 1
NoRun = 1
La primera entrada (NoDrives = 4), deshabilita el acceso a la unidad de disco C. Bajo Windows XP el disco no es accesible de ninguna forma, mientras que en Windows 2000 solo está oculto.
"NoFind" y "NoRun", deshabilitan las opciones de Inicio\Buscar e Inicio\Ejecutar.
El gusano crea una "shell folder" (o carpeta de entorno), llamada "kIlLeRgUaTe 1.03". El "shell" es el entorno gráfico de Windows.
Un "namespace" es la jerarquía de carpetas y objetos que cuelga del objeto "Escritorio". Cualquier cosa de la computadora, incluyendo unidades de red, carpetas asociadas a un objeto, como el Panel de Control, y unidades locales, son parte del "namespace" del shell de Windows (ejemplos: Papelera de Reciclaje, Panel de Control, Impresoras, etc.).
La carpeta "kIlLeRgUaTe 1.03", es similar a la de "Mi PC" o "Papelera de Reciclaje", que usualmente se muestran en el escritorio de Windows. El icono es similar al del archivo con el gusano.
Para hacer esto, el gusano crea estas entradas en el registro:
HKCR\CLSID\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}
HKCR\CLSID\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}
(Predeterminado) = kIlLeRgUaTe 1.03
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer
\ControlPanel\NameSpace\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer
\Desktop\NameSpace\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}
Un doble clic sobre la carpeta "kIlLeRgUaTe 1.03" en el escritorio ejecuta al gusano.
Después, el gusano busca la carpeta compartida por defecto por el KaZaa (\kazaa\my shared folder\) y se copia en ella con uno de los siguientes nombres:
matrix reloaded 2 avi.exe
norton 2003 pro.exe
windows xp keygen 2.5.exe
Reparación manual
Nota: Si se ejecutó el gusano, los cambios realizados en el registro de Windows, y los archivos borrados, harán imposible una recuperación del sistema. La única solución efectiva será reinstalar todos los programas y aplicaciones, incluido Windows.
Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.
Actualizaciones:
18/jul/03 - Se amplía la descripción.
20/jul/03 - Se amplía la descripción.
22/jul/03 - Se amplía la descripción.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|