Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Roach@MM (Efortune). Involucra el Kernel de Windows
 
VSantivirus No. 307 - Año 5 - Viernes 11 de mayo de 2001
VSantivirus No. 309 - Año 5 - Domingo 13 de mayo de 2001

Virus: W32/Roach@MM (Efortune). Información ampliada

Este virus fue descripto en nuestro boletín VSantivirus No. 307 - Año 5 - Viernes 11 de mayo de 2001. Su funcionamiento es bastante tortuoso y algo sofisticado, además del hecho de poder ejecutar sin nuestro consentimiento un archivo enviado en su mensaje infectado, explotando una conocida vulnerabilidad. Por esa razón, esta descripción, basada en análisis del virus de Symantec y propios, amplía la información relacionada con el mismo.

Nombre: W32/Roach@MM
Tipo: Gusano, infector de archivos y troyano de acceso remoto
Alias: W32.Efortune.31384@mm
Tamaño: 31,384 bytes
Fecha: 9/may/01

Se trata de un virus polimórfico (su código varía con cada nueva generación) y encriptado, capaz de enviarse masivamente por correo electrónico, y con capacidad de acceso remoto por la puerta trasera (backdoor), con comunicación a través del IRC. Modifica el archivo Kernel32.DLL, el corazón de Windows (1), para interceptar los archivos a infectar.

Cuando un archivo infectado es ejecutado por primera vez, el virus obtiene el nombre del archivo actual abierto. Si este nombre finaliza con las letras "okie", entonces el virus selecciona uno de los siguientes textos y los muestra en una ventana de mensajes:
  • it is predictable, but I wouldn't like to predict it myself. - C. Lawson
  • 10000 lemmings can't be wrong.
  • A friend in need is a pain in the ass.
  • A man is as old as he feels. But never as important.
  • A man is as old as the woman he feels.
  • Always be sincere - Even when you don't mean it.
  • Always tell her she's pretty, especially when she isn't.
  • Anyone who can see through a woman is missing a lot.
  • Avoid life - It'll kill you in the end.
  • Do to the other fellow as he would do unto you. But for God's sake do it first!
  • Experience, the name given by men to their mistakes.
  • Get stoned - Drink liquid cement.
  • Happiness can't buy money.
  • If a woman wants to learn to drive, don't stand in her way.
  • Join the army, travel the world, meet interesting people and shoot them.
  • Just because you're paranoid it doesn't mean they aren't out to get you.
  • Life is a sexually transmitted disease.
  • Love Thy Neighbour - But don't get caught.
  • Money can't buy friends but it can buy a better class of enemy. - Spike Milligan
  • Never put off till tomorrow what you can avoid altogether.
  • Racial prejudice is a pigment of the imagination.
  • Smoking - think of it as evolution in action.
  • Sudden prayers make God jump.
  • When faced with two evils I like to do the one I've never tried before. - Mae West
  • Live fast, Die young, Leave a good looking corpse.
  • A Wise Man can see more from the bottom of a well than a Fool can see from the top of a mountain.
  • Walk softly but carry a big stick.
  • TO DO IS TO BE - Socrates TO BE IS TO DO - Sartre DO BE DO BE DO - Sinatra
  • It is better to keep your mouth closed and let people think you are a fool than to open it and remove all doubt - Samual Clemmens
  • What you can not avoid, Welcome.
  • If you can't tie good knots... tie many.
  • Anything free is worth what you pay for it.
  • Two wrongs do not make a right; it usually takes three or more.

Si el nombre termina en "ys32" y es ejecutado con un parámetro (cuando se lanza un ejecutable con línea de comandos, por ejemplo C:\WINDOWS\EXPLORER.EXE /n,/e,C:\. Esto suele ser muy común en la ejecución de programas desde el registro, en el ejemplo, el Explorador de Windows), entonces el virus busca los archivos .EXE en la carpeta del archivo que se lanzó con parámetros (en el ejemplo, la carpeta sería C:\WINDOWS). Cualquier archivo .EXE en esa carpeta, será infectado, a excepción de los que comiencen con la siguiente combinación de letras (presumiblemente por no infectar algunos productos antivirus):

aler
npss
nsch
nspl
anti
vsaf
vswp
adin
expl
soni
sqst
smss
outl
psto
fsav
pand
inoc
tbsc
navs
navd
navx
adva
scan
nod3
drwe
spid
amon
avp3
avpm

Después de la infección del archivo, el parámetro es ejecutado. Si el archivo Kernel32.dll no está infectado, el virus altera este valor del registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = [ejecutable del virus] "%1" %*

Con esto se ejecuta a si mismo cada vez que cualquier .EXE es lanzado. Normalmente allí solo debe incluirse esto: "%1" %*

(Predeterminado) = "%1" %*

En todos los casos, si el archivo Kernel32.dll no está infectado, el virus copia el archivo C:\Windows\System\Kernel32.dll como C:\Windows\System\Kernel32.vll, luego crea un archivo llamado C:\Windows\System\Cookie.att. Si ya existe C:\Windows\System\Cookie.att, entonces el virus crea en su lugar el archivo C:\Windows\TEMP\Cookie.att. Este es un archivo .ZIP que contiene un archivo File_id.diz. Su contenido (un TXT), es el siguiente:

            FortuneCookie 32 - Version 1.0
                              * FREEWARE *

DESCRIPTION:
============

       FortuneCookie 32 is a Windows 32 version of the classical
fortune cookies you can get at some restaurants. It's very simple
double clicking on the cookie.exe file will bring up a fortune cookie.
       This program is freeware so feel free to send out a word of
wisdom to your friends!

Luego, el virus intenta copiar C:\Windows\System\Mmsys32.exe a C:\Windows\System\Jdbgmgr.exe y lo infecta. Si Mmsys32.exe no existe entonces C:\Windows\TEMP\Mmsys32.exe es copiado a C:\Windows\System32\Jdbgmgr.exe e infectado.

Si es la primera ejecución en la computadora infectada, el siguiente valor es agregado al registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mmsys = C:\Windows\SYSTEM\Mmsys32.exe

Luego el archivo Mmsys32.exe es agregado al contenido zipeado de Cookie.att como Cookie.exe. El archivo Kernel32.vll es infectado entonces, con ganchos a las siguientes APIs (2) de Windows:

CopyFileA
GetFileAttributesW
GetFileAttributesA
DeleteFileA
MoveFileA

Esto interceptará todas las acciones que involucren copiar, borrar o mover archivos, etc.

Después C:\Windows\System\Kernel32.vll es copiado a C:\Windows\TEMP\Roachk32.tmp y a C:\Windows\Kernel32.dll, utilizándose varias técnicas para que Windows reemplace C:\Windows\System\Kernel32.dll con C:\Windows\System32\Kernel32.vll al reiniciarse (entre ellas modificando el archivo WININIT.INI). Además, en las versiones de Windows que soportan SFC (System File Checker), este es deshabilitado para que no se informe del cambio.

Después del primer paso de la infección, el host (el archivo infectado) es ejecutado en un thread mientras el virus detecta una conexión a Internet activa en otro. Cuando la conexión se hace activa, el virus intenta conectarse al servidor de correo del usuario infectado (cuyo nombre es tomado del registro). Si esto falla, entonces el virus intenta conectarse a "smtp.sexmagnet.com". Si la clave "RegisteredOwner" existe en el registro, su contenido es usado en el campo "DE:" del mensaje a enviar. De otra forma, el virus selecciona uno de los siguientes textos:

dark
evil
lost
cool
kewl
fool
hack
dead
head
bozz

Las direcciones de correo son tomadas de las páginas blancas de www.icq.com, usando un identificador de lenguaje al azar. La dirección de retorno será uno de los textos anteriores, combinados con alguno de los siguientes:

trooper
travler
nemonic
_maniac
_master
_avatar
_jesuzz
riddler
_satan_
lucifer

A esto se le agregará siempre lo siguiente:

@hotmail.com

De este modo, podrán generarse direcciones de retorno (falsas) como por ejemplo:

deadtrooper@hotmail.com
dark_maniac@hotmail.com
hack_master@hotmail.com
cool_satan_@hotmail.com
headriddler@hotmail.com

El virus envía un solo mensaje, con tantos destinatarios como entren en el búfer de 2Mb que es permitido en la búsqueda del ICQ (esto también aumentará el tiempo de conexión durante la transferencia, cosa que el usuario en algunos casos podría llegar a notar estando conectado a Internet). El mensaje tendrá estas características:

Asunto: Fw: Guess what, you're mine!

Texto HTML:
<HTML>
<HEAD>
</HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>
<P align=center><FONT size=7><SPAN
class=590014113-13042001>SMACK!!!</SPAN></FONT></P>
<P align=center><FONT size=7><SPAN class=590014113- 13042001>You have been hit</SPAN></FONT></P>
<P align=center><SPAN class=590014113-13042001>This is the funny-attachment war! You have just been hit and by the rule book you can't hit this person back. To 
be in the game you need to send this message to five of your friends, try to 
find some small and funny attachment to send along. If you don't have time use 
the one you got hit by, go ahead hit someone!</SPAN></P>
<P align=center><FONT size=7><SPAN 
class=590014113-13042001></SPAN></FONT>&nbsp;</P></BODY></HTML>

El texto se verá así:

SMACK!!!
You have been hit
This is the funny-attachment war! You have just been hit 
and by the rule book you can't hit this person back. To be 
in the game you need to send this message to five of your 
friends, try to find some small and funny attachment to 
send along. If you don't have time use the one you got hit 
by, go ahead hit someone!

El mensaje contiene dos archivos adjuntos: SETUP.EXE y COOKIE.ZIP

SETUP.EXE es ejecutado automáticamente por Internet Explorer 5.5, utilizando una de sus vulnerabilidades conocidas. El mensaje con formato HTML del virus, hará que el IE ejecute dicho archivo adjunto automáticamente en el equipo del usuario.

Existe un parche y algunas recomendaciones para esta vulnerabilidad que se dan al final de esta descripción.

COOKIE.ZIP contiene los siguientes archivos:

FILE_ID.DIZ
COOKIE.EXE

El icono de COOKIE.EXE es un pequeño osito de peluche. COOKIE.EXE es también el virus.

Después que el mensaje es enviado, el virus intenta conectarse al canal de IRC "roazh", en el servidor "diemen.nl.eu.undernet.org", y espera por ciertos comandos. Estos incluyen acciones con características de backdoor (puerta trasera), permitiendo por ejemplo la ejecución de archivos en forma remota en la máquina infectada.

Luego de su acción, el virus infectará todos los archivos .EXE que sean utilizados por Windows, o visualizados, copiados, movidos, etc., en el Explorador de Windows.

La infección también puede producirse al ejecutar un archivo .EXE infectado, bajado de Internet, copiado en disquete, etc.

El virus es sumamente inestable, y puede provocar el mal funcionamiento de los archivos infectados.

Para remover el virus de un sistema infectado

Para empezar, y cómo ya vimos con el virus "
W32/Navidad", y otros, debido a la forma como puede llegar a modificar la asociación normal con los archivos .EXE, debemos tomar ciertas precauciones para poder sacarlo del registro, porque si ejecutamos el editor del registro (REGEDIT.EXE) sin más, podemos estar ejecutando nuevamente al virus. Cómo también está involucrado el archivo KERNEL32, las acciones para quitar definitivamente este virus, pueden llegar a ser bastante complejas. Para intentar limpiar el sistema, sugerimos seguir estos pasos:

1. Ejecute un antivirus al día, en modo MS-DOS. Se sugiere F-PROT (ver: VSantivirus No. 158 - Año 4 - Miércoles 13 diciembre de 2000,
Cómo ejecutar F-PROT en un disquete (actualizado)). Esto debe hacerse tal como se explica en este artículo, necesariamente, iniciando la computadora desde un disquete de inicio limpio.

Luego, al reiniciar, siga con los siguientes pasos (aunque lo anterior debe quitar el virus del sistema, sugerimos los pasos siguientes para no correr el riesgo de volvernos a
infectar en este punto):

2. Desde Inicio, Ejecutar, teclear COMMAND y pulsar ENTER

3. Debido a la posible captura de la extensión .EXE por el virus, por precaución, deberá renombrar la utilidad REGEDIT.EXE como REGEDIT.COM. Desde la ventana DOS actual (creada en el punto 2), teclear:

REN   C:\WINDOWS\REGEDIT.EXE   C:\WINDOWS\REGEDIT.COM

4. En la ventana DOS, teclear REGEDIT (y Enter)

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

mmsys

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

8. Pinche en la ventana de la derecha sobre (Predeterminado), y en la ventana "Presentación del valor" borre lo que hay antes de "%1" %*. Debe dejar SOLAMENTE esto (respetar las comillas):

"%1" %*

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Luego, busque y borre los archivos COOKIE.EXE, KERNEL32.VLL, MMSYS32.EXE y COOKIE.ATT del sistema, si aun existen.

Cualquier ejecutable borrado, deberá ser recuperado con una reinstalación de Windows (por ejemplo KERNEL32.DLL). Este archivo es el componente principal del núcleo del kernel Win32, el corazón de Windows, y su recuperación (sin reinstalar), puede ser engorrosa. Aquí se dan algunas opciones para usuarios de Windows 98 (con SFC).

Recuperar KERNEL32.DLL usando SFC en Windows 98

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Seleccione "Extraer un archivo del disco de instalación"

3. Teclee C:\WINDOWS\SYSTEM\KERNEL32.DLL en la ventana "Especifique el archivo de sistema que desea restaurar" y pinche en Iniciar.

4. En la ventana "Restaurar de" teclee el camino a donde posee los archivos CABs de instalación de Windows 98 (C:\WINDOWS\OPTIONS\CABS o C:\WIN98, o si los tiene en CD, D:\WIN98, o la letra que corresponda).

5. Pinche en ACEPTAR y siga las instrucciones de reiniciar el sistema, etc.

6. Ejecute nuevamente uno o dos antivirus al día, preferentemente iniciando con un disquete limpio, como se indica en el punto 1.

Sobre la vulnerabilidad en extensiones MIME en IE

Vea en nuestro sitio estos artículos (o los correspondientes boletines):

05/abr/01 - Crónica de una vulnerabilidad anunciada
03/abr/01 - Parche que no funciona. Miles de usuarios indefensos
03/abr/01 - Medidas de emergencia (Por Juan Carlos García Cuartango)
31/mar/01 - Grave vulnerabilidad en extensiones MIME en IE

También:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Notas:

(1) KERNEL. Parte del S.O. residente permanentemente en memoria. Dirige los recursos del sistema, memoria, entradas y salidas, procesos y dispositivos.

(2) API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.

Fuente: Network Associates, MessageLabs, Symantec, Panda
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS