|
VSantivirus No. 437 - Año 5 - Martes 18 de setiembre 2001
Nombre: Troj/Mustard.A
Tipo: Caballo de Troya
Alias: TROJ_MUSTARD.A, MUSTARD, MUSTARD.A, I-Worm.Petik.d, W95.Pet_Tick.gen, W32/Update.Worm
Componentes: IRC/Mustard.A y VBS/Mustard.A
Fecha: 28/may/01
Tamaño: 7,168 Bytes
Este troyano incluye dos componentes (IRC/Mustard.A y VBS/Mustard.A), que le permiten propagarse a través del IRC y del correo electrónico.
Llega a nosotros en un mensaje infectado, o a través del IRC. Es un gusano escrito en un lenguaje de alto nivel, pero que puede extenderse a través del Outlook y también del mIRC.
Otra de sus características, es intentar deshabilitar el antivirus de Norton si éste se encuentra instalado en la computadora infectada, aunque esto funcionará solo con determinadas versiones y según el sistema operativo en uso.
Cuando el gusano (un archivo de nombre AVUPDATE.EXE) es ejecutado por el usuario, el mismo creará una entrada en el registro, la que usará para confirmar su ejecución en el sistema, para no volver a enviarse por e-mail o a través de los canales de chat más de una vez.
Luego, el troyano genera una copia de si mismo en la carpeta de Windows. Este archivo simula ser parte de un conocido antivirus, mostrando incluso su icono.
Modifica también el archivo WIN.INI para ejecutarse en el reinicio de Windows:
[windows]
run=C:\Windows\AVUPDATE.EXE
El troyano crea también un archivo SCRIPT.INI conteniendo las instrucciones para propagarse a través de los canales de CHAT (IRC) usando el programa mIRC. Esto solo funciona si dicho programa está en alguna de estas ubicaciones:
C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Program Files\Mirc32
También genera un archivo SEND.VBS (script de Visual Basic), con las instrucciones para propagarse vía e-mail, en un archivo del directorio raíz del disco C, para luego ejecutarlo:
C:\Send.vbs
Nombre: IRC/Mustard.A
Tipo: Gusano de IRC
Alias: IRC_MUSTARD.A, MUSTARD, MUSTARD.A, I-Worm.Petik.d
Tamaño: 141 Bytes
Corresponde al código incluido en el archivo SCRIPT.INI, y se encarga de propagar el troyano
Troj/Mustard.A a través del IRC, usando el programa mIRC. No posee ninguna rutina destructiva.
Envía el archivo del troyano (AVUPDATE.EXE) ubicado en
C:\Windows a todos los usuarios conectados al mismo canal de IRC donde se halle conectado el usuario infectado.
Nombre: VBS/Mustard.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_MUSTARD.A, MUSTARD, MUSTARD.A, I-Worm.Petik.d
Tamaño: 592 Bytes
Es el componente encargado de enviar al troyano Troj/Mustard.A a través del correo electrónico, a todos los usuarios listados en la libreta de direcciones del Outlook.
El mensaje generado posee estas características:
Asunto: Antivirus Update
Texto: The last version of your AV
Archivo adjunto: AVUPDATE.EXE
Para eliminarlo de un sistema infectado:
1. Desde Inicio, Ejecutar, escriba WIN.INI y pulse Enter
2. Modifique la siguiente línea:
[windows]
run=C:\Windows\AVUPDATE.EXE
De modo que quede así:
[windows]
run=
3. Guarde los cambios realizados y reinicie su PC.
4. Ejecute un antivirus al día y borre los archivos identificados como
Troj/Mustard.A, W32/Update.Worm o similar.
Si se posee Norton como antivirus, se recomienda reconfigurar las opciones por defecto, reinstalar el producto, o utilizar un segundo antivirus (también actualizado) para escanear el
sistema. Una opción gratuita es el F-PROT, que puede bajar de nuestro sitio.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el
WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de
"DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de éstos.
Glosario:
IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.
Ver también:
02/jun/01 - W32/Update.Worm. Falsa actualización deshabilita a Norton
Fuente: Trend Micro, Symantec, Kaspersky
(c) Video Soft - http://www.videosoft.net.uy
|
|