|
VSantivirus No. 135 - Año 4 - Lunes 20 de noviembre de 2000
Nombre: I-Worm.Icecubes
Tipo: Gusano de Internet y Trojan (backdoor)
Tamaño: 18 Kb
Es un gusano que se propaga a través de adjuntos en el correo electrónico. El gusano en si es un ejecutable Win32 de 18 Kb.
Si recibimos un mensaje con el asunto "Windows Icecubes
!", y con un adjunto llamado ICECUBES.EXE, y pinchamos sobre éste (doble clic), el gusano se ejecuta y se instala en el sistema. Oculta su actividad, simulando ser la instalación de un programa (Icecubes) que dice permitir modificar configuraciones ocultas de Windows.
Esta carga nos muestra una ventana con una barra de progreso y el título
"Scanning system for Windows Icecubes". Y luego una ventana más grande de configuración (con el título
"Windows Icecubes"), y estas opciones seleccionables, las que tienen un jocoso contenido:
Manufacturer's default settings (not to be edited)
Endurance options
[x] Crash Every [2] [days]
[x] Crash after [5000] bytes of un-saved changes
Save options
[x] Create incredible large files
[ ] Allow me to carry on typing during AutoRecovery saves
Fail AutoRecovery at [17] percent
Other Options
[x] Decrease boot speed by 70%
Annoy me with that sodding paperclip
[ ] constantly
[x] when I least expect it
[Ok] [Cancel]
Cuando se instala, el gusano se copia a si mismo en el directorio WINDOWS\SYSTEM, usando el nombre WSOCK2.DLL (note la existencia en Windows de los archivos con nombres "parecidos", WSOCK32.DLL, y WSOCK2.VXD).
Luego, infecta la librería WSOCK32.DLL original de Windows, escribiendo su código al final del archivo. Esta librería, normalmente es bloqueada (locked) por Windows, para solo lectura, y no puede ser modificada (Windows la utiliza para las conexiones a Internet), pero el gusano hace una copia de ella con el nombre WSOCK32.INF, infecta esta copia y escribe en el archivo WININIT.INI el comando necesario para que WSOCK32.INF reemplace al original WSOCK32.DLL en el próximo reinicio del sistema.
Una vez activo, el código del virus en el WSOCK32.DLL infectado, se engancha a la función "send", y monitorea toda la información que es enviada por Windows a Internet.
También permanece en memoria, y se engancha a la función "CreateFileA" del KERNEL32.DLL.
Cuando un mensaje es enviado, el gusano crea un segundo mensaje, al mismo destinatario (esta acción es similar a la del Happy99, por cada mensaje normal recibido de alguien infectado, también se recibe uno infectado).
El mensaje infectado tiene estas características:
Asunto:
Windows Icecubes !
Texto del mensaje:
I almost forgot. Look at what I found on the web.
This tool scans your system for hidden Windows settings, better known as -Windows Icecubes-.
These secret settings were built in by the Windows programmers.
I think you might want to change them a little, just take a look ! :)
Archivo adjunto: ICECUBES.EXE (20 Kb)
(Traducción: "Casi me olvidaba. Mire lo que encontré en la Web. Esta herramienta examina su sistema en busca de las configuraciones ocultas de Windows, mejor conocida como -Windows Icecubes -. Estas configuraciones secretas fueron creadas por los programadores de Windows. ¡Pienso que usted podría querer cambiarlas un poco, solo dele una mirada! :)
Además, cuando un archivo es creado (o sea, cuando se usa el API "CreateFileA"), el gusano lanza un comando oculto de IRC (irc-bot), a un canal de IRC (undernet) predefinido y espera algunos comandos externos. Actualmente, existen tres comandos disponibles. Estos comandos pueden enviarle la clave del correo electrónico a la persona que lo pida. También pueden hacer que el gusano baje, instale y ejecute archivos, actuando como un instalador en "backdoor" (puerta trasera).
El gusano también guarda el login y el password de acceso a Internet de la víctima en un archivo llamado ICECUBE.TXT, ubicado en el directorio de Windows.
Otra rutina hace que el primero de julio, el gusano muestre este mensaje:
W9x.Icecubes / f0re [lz0]
Windows detected icecubes on your harddrive.
This may cause the system to stop responding.
Do you want Windows to remove all icecubes ?
(Windows detectó icecubes en su harddrive. Esto puede causar que el sistema deje de responder. ¿Desea que Windows quite todo el icecubes?)
|
|