VSantivirus No. 535 - Año 6 - Martes 25 de diciembre de 2001
Nombre: W32/Hallad.A
Tipo: Gusano de Internet
Alias: I-Worm.Hallad, W32/Zacker.A, W32.Zacker@mm, Win32.Zacker.A@mm, W32/Maldal@mm
Fecha: 7/dic/01
Tamaño: 81,920 bytes
Fuente: Kaspersky, McAfee
Este gusano se propaga a través de e-mails con un adjunto infectado, y es capaz de enviarse a través de los canales de IRC. Posee una rutina maliciosa que borra ciertas carpetas pertenecientes a conocidos antivirus y cortafuegos. Algunas fallas en su código pueden hacer que falle al intentar propagarse.
El cuerpo del gusano es un ejecutable en formato PE (Portable Executable), de unos 80 Kb, escrito en Visual Basic 6.
El mensaje que lo propaga, tiene las siguientes características:
Asunto: [Nombre del remitente] is a millionaire
Texto:
Hi [Nombre del destinatario] Your Friend [Nombre del remitente]
invites you to be a millionaire [Nombre del destinatario] and says :
[Nombre del destinatario] Wow..its really cool Test your lock ;)
[Nombre del destinatario]
just keep this advertisements pro run and you will get 0.25 $ every
30 minutes
[Nombre del destinatario] + Wo-finance Team
Adjunto:
LucKey.exe
El gusano se activa desde el mensaje infectado, solo si el usuario abre el adjunto (doble clic).
Si ello ocurre, el gusano se copia al directorio WINDOWS y
SYSTEM, con el nombre de LUCKEY.EXE y DALLAH.EXE respectivamente:
C:\Windows\LUCKEY.EXE
C:\Windows\System\DALLAH.EXE
Luego, muestra el siguiente mensaje falso, para disimular su acción.
Project1
Run time error '71'
Object required
[ OK ]
Entonces, el gusano modifica el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ESM.OMMI = C:\Windows\System\DaLLAh.exe
HKLM\Software\Microsoft\Windows
DaLLAh
Luego, activa su rutina de envío masivo de mensajes infectados, los cuáles distribuye a todos los contactos de la libreta de direcciones del Outlook.
Después de propagarse se genera la siguiente clave en el registro, con el valor de
"5":
HKLM\Software\MEL
El gusano también examina todos los directorios y subdirectorios del disco duro, en busca de un archivo usado por el cliente de chat mIRC. Si encuentra el archivo
MIRC.INI, sobreescribe su contenido con un nuevo script, el cuál incluye las instrucciones necesarias para enviar el gusano a cada usuario que se una al mismo canal IRC donde se conecte la víctima.
Su rutina maliciosa consiste en crear, dependiendo de la hora del día, numerosos archivos en el directorio actual (hasta 40,000), con los siguientes nombres:
Sharoon NNNN.exe
Bush NNNN.exe
ZA-Union NNNN.exe
BinLadin NNNN.exe
Donde "NNNN" representa un número desde el 1 al
9999.
También buscará en el disco duro archivos con las siguientes extensiones:
MDB
ZIP
DOC
XLS
TXT
JPG
RAM
RM
MPEG
MPG
MID
MP3
JPEG
LNK
PST
Cada archivo encontrado, será sobrescrito con el siguiente texto:
Sharoon = a war crimenal
Bush supports him
So...
Bush = a war crimenal
American people must protect their country
otherwise, their
government will lead them to the hell !
Best Regards
America Lovers
ZA-UNION
Realizará una copia del gusano con el nombre del archivo encontrado, pero con la extensión
.EXE añadida al nombre.
También buscará archivos HTM y HTML, y los sobrescribirá con su propio código, que mostrará un flash animado de una página de Internet.
El gusano intenta además, borrar las siguientes carpetas del disco duro donde esté instalado Windows
(C: por lo general). Las mismas corresponden a conocidos antivirus y cortafuegos:
\Archivos de programa\Command Software\F-PROT95
\eSafe\Protect
\PC-Cillin 95
\PC-Cillin 97
\Archivos de programa\Quick Heal
\Archivos de programa\FWIN32
\Archivos de programa\FindVirus
\Toolkit\FindVirus
\f-macro
\Archivos de programa\McAfee\VirusScan95
\Archivos de programa\Norton AntiVirus
\TBAVW95
\VS95
\rescue
\Archivos de programa\Zone Labs
El archivo FLOPY.VBS es copiado en C:\Windows, y luego ejecutado. Este script de Visual Basic copia el dropper del gusano al disquete con el nombre de
MALAL.EXE.
También crea "compañeros" de cada archivo encontrado en el disquete, con la extensión original más la de
.EXE. Ejemplo: Si existen dos archivos: ARCHIVO.GIF,
EJEMPLO.BAT, se crean otros dos archivos (que contienen la copia del gusano), con los nombres
ARCHIVO.GIF.EXE, EJEMPLO.BAT.EXE. El examen de la disquetera puede repetirse cada 50 segundos.
Para limpiar un sistema infectado, ejecute uno o más antivirus actualizados, borre los archivos infectados (se trata del código del virus con diferentes nombres), incluso de posibles disquetes infectados.
Borre los mensajes infectados y vacíe la carpeta Elementos Eliminados. Luego compacte las carpetas del Outlook Express desde Archivo, Carpetas, Compactar.
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Finalmente, ejecute REGEDIT desde Inicio, Ejecutar (escriba REGEDIT
y pulse Enter).
Busque las siguientes claves y borre los datos que se indican:
Busque:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
Pinche en "Run" y borre en la ventana de la derecha:
ESM.OMMI
"C:\Windows\System\DaLLAh.exe"
Busque:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
DaLLAh
Borre la carpeta: DaLLAh
Busque:
HKEY_LOCAL_MACHINE
SOFTWARE
MEL
Borre la carpeta: MEL
Glosario:
IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.
DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|