|
VSantivirus No. 306 - Año 5 - Jueves 10 de mayo de 2001
Nombre: I-Worm.Puron
Tipo: Gusano de Internet
Alias: W32/Puron, W32.Ramones
Fecha: 9/may/01
Este gusano se propaga a través del correo electrónico e infectando ejecutables .EXE de Windows.
Contiene algunos errores en su código, que ocasiona que en algunos casos, la máquina infectada se cuelgue cuando el virus actúa, o que algunos archivos queden corruptos.
En su cuerpo, el virus contiene este texto:
(c)Vecna
Vecna is a punk rocker now...
El gusano puede llegarnos adjunto a un mensaje, a través de una red local, o al ejecutar un programa infectado descargado de algún sitio, o desde un disquete o CD.
El mensaje infectado está en formato HTML y tiene estas características:
De: "Mondo bizarro" <mourning@obituary.org>
Asunto: Joey is dead, man... :-(
Texto: A tribute to Joey Ramone (1951-2001)
Archivo adjunto: ramones.mp3.exe
En un sistema configurado por defecto, la extensión
.EXE no se verá, y en su lugar se mostrará lo siguiente:
RAMONES.MP3
Esto puede hacernos creer se trata de un archivo de música. Sin embargo, el virus explota la conocida vulnerabilidad en las extensiones MIME en Internet Explorer, de modo que el adjunto puede llegar a ejecutarse sin nuestro consentimiento (ver VSantivirus No. 271 - Año 5 - Jueves 5 de abril de 2001, Crónica de una vulnerabilidad anunciada).
Cuando el gusano se ejecuta, extrae su código principal, un archivo Win32 PE (EXE), de 9,5 Kb, del archivo infectado y lo guarda en la carpeta TEMP de Windows (generalmente
C:\Windows\TEMP), con nombres generados al azar, por ejemplo
LNBAMKON.EXE, MMCAAHAN.EXE, etc. Luego de ello, ejecuta dicho archivo.
Cuando el código principal del virus toma el control, mueve su código a la carpeta indicada en la siguiente clave de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Common Startup = [carpeta de inicio]
La ubicación de [carpeta de inicio] depende de la versión de Windows, por ejemplo:
Common Startup = C:\WINDOWS\All users\Menú Inicio\Programas\Inicio
El gusano se copia en esa carpeta (en el ejemplo,
C:\WINDOWS\All users\Menú Inicio\Programas\Inicio), utilizando un nombre generado al azar y que consiste en 8 dígitos con la extensión
.EXE. Por ejemplo, alguno de estos:
00544102.EXE
17060133.EXE
37154273.EXE
El gusano ejecuta entonces esa copia en la carpeta de inicio, y borra la primer copia en la carpeta TEMP, según esta secuencia:
1. El archivo infectado es ejecutado en:
C:\VIRUS.EXE
2. Se crea y ejecuta esta copia:
C:\WINDOWS\TEMP\MMCAAHAN.EXE
3. Se crea y ejecuta esta copia (que además borra la anterior):
C:\WINDOWS\All users\Menú Inicio\Programas\Inicio\00544102.EXE
Debido a un error de programación, el virus en ocasiones falla en la mitad de este proceso, y si ello ocurre la copia en la carpeta
TEMP no se borra.
Cuando el proceso se completa, para ocultarse, el virus se engancha a las llamadas del sistema
FindFile y FindProcess de Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). El gusano intercepta estas llamadas para que su copia en la carpeta de Inicio, como se indica más arriba, no sea visible para el usuario. Tampoco es visible al pulsar CTRL+ALT+SUPR, el propio proceso del virus en la lista de tareas.
Luego, ejecuta su rutina de infección y la de envío por correo.
La rutina de infección busca los archivos .EXE y .SCR (ejecutables de Windows), en las unidades de disco locales y mapeadas en red, y los infecta.
La forma de hacerlo es tomar un bloque del medio del archivo a infectar, comprimirlo, y guardarlo junto al código del propio virus, de manera que el tamaño total del archivo infectado no varía.
El gusano utiliza rutinas de polimorfismo y mutación que hacen muy compleja su detección y desinfección.
Para enviarse por correo electrónico, el gusano se conecta con el servidor SMTP de la cuenta del usuario infectado y envía mensajes el virus a los contactos de la libreta de direcciones de Windows (Windows Address Book).
El mensaje infectado (en formato HTML) tiene las mismas características que el descripto más arriba.
El virus utiliza una de las vulnerabilidades conocidas del Internet Explorer. El mensaje con formato HTML del virus, hará que el Internet Explorer ejecute el archivo adjunto automáticamente en el equipo del usuario.
Existe un parche y algunas recomendaciones para esta vulnerabilidad.
Vea en nuestro sitio estos artículos (o los correspondientes boletines):
05/abr/01 - Crónica de una vulnerabilidad anunciadaa
03/abr/01 - Parche que no funciona. Miles de usuarios indefensos
03/abr/01 - Medidas de emergencia (Por Juan Carlos García Cuartango)
31/mar/01 - Grave vulnerabilidad en extensiones MIME en IE
También:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Información complementaria
Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95/98:
Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).
- En Windows Me:
Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos
conocidos" o similar. También recomendamos que MARQUE la opción
"Mostrar todos los archivos y carpetas ocultos" o similar.
Fuente: Kaspersky Antivirus
|
|