Virus: I.worm.LIBIDO/Inmortal. Se propaga a través de redes LANs

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 416 - Año 5 - Martes 28 de agosto de 2001

Nombre: I.worm.LIBIDO/Inmortal
Tipo: Gusano
Origen: Perú
Tamaño: 40,960 bytes
Fecha: 27/ago/01

[Descripción realizada por Jorge Machado de Per Antivirus http://www.persystems.com (Lima-Perú) y tomada con permiso de su autor]

I.worm.LIBIDO/Inmortal, es un virus manifestado durante la penúltima semana de Agosto del 2001, desde algunos Institutos Superiores Tecnológicos de Computación de la ciudad de Lima, Perú. Sin embargo, a partir del Lunes 27 algunas empresas empezaron a reportar su presencia en estaciones de trabajo de sus servidores.

Este gusano de 40,960 bytes, al cual no se le ha realizado ningún tipo de compresión, ni encriptamiento, está desarrollado en Visual C++ e infecta sistemas Windows de 32 bits (95/98/Me/NT/2000).

Esta nueva especie viral está basada en la familia de virus escritos en MS Visual, creada por algunos estudiantes de Institutos de Cómputo peruanos, cuyo antecesor I.worm.PAMELA, mas allá de buscar infecciones masivas y subrepticias, buscan obtener alguna notoriedad, con aires de soberbia, al proporcionar supuestas pistas sobre sus identidades o las direcciones de su correo electrónico, los cuales pertenecen a servicios gratuitos basados en la web, tales como Hotmail, Yahoo, Mixmail, etc.

Su código viral contiene la palabra INMORTAL, además de algunas direcciones de correo.

Se propaga copiándose a los disquetes en forma aleatoria en un archivo con el nombre de LIBIDO-HEMBRA.EXE (40 Kb).

El nombre de este archivo es alusivo al último álbum musical del grupo de rock peruano LIBIDO, denominado HEMBRA (http://www.libidonet.com/)

Este gusano asocia el icono estándar de la carpeta de MS Windows al ejecutable infectado, LIBIDO-HEMBRA.EXE, tal como lo hizo en su oportunidad el gusano WinSound, con otro archivo.

Cuando se ejecuta LIBIDO-HEMBRA.EXE en una PC, el gusano se autocopia al directorio C:\WINDOWS\SYSTEM, bajo el nombre de RUNING.EXE.

Luego modifica el registro de Windows para que el archivo sea ejecutado la próxima vez que se inicie MS Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Default = C:\Windows\System\Runing.exe

Adicionalmente bloquea la ejecución del programa REGEDIT.EXE y para este propósito crea la llave:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
RestrictRun

Luego de este cambio, el mensaje que se muestra al intentar usar el REGEDIT es el siguiente:

REGEDIT
Otro programa está utilizando este archivo.
[ Aceptar ]

Una vez reiniciada la PC, el gusano se carga como un proceso normal de MS Windows, el cual buscará leer la unidad "0", correspondiente a la disquetera de 3.5 en el computador. Adicionalmente presenta un logotipo visual, con el texto "Inmortal", el cual no desaparecerá mientras que el proceso RUNING permanezca activo.

Si el equipo infectado pertenece a una estación de trabajo de red LAN, procederá a auto duplicarse, infectando a las demás estaciones a las cuales se encuentre conectada.

Debido a que el archivo ejecutable no está comprimido ni encriptado, puede ser fácilmente desensamblado y su peligrosidad radica en que nada impediría su propagación masiva a través de mensajes de correo electrónico, si es que a su código fuente se le agregan funciones de las librerías MAPI (Messaging Application Programming Interface) para ser autoenviado a los buzones de correo de la libreta de direcciones de MS Outlook y Outlook Express.

(c) Jorge Machado
PER ANTIVIRUS
http://www.persystems.com
Lima-Perú

(c) Video Soft - http://www.videosoft.net.uy