| |
Viernes 30 de junio de 2000
Nombre: I-Worm.Silver
Tipo: Gusano de Internet
Tamaño: 90Kb
Se trata de un peligroso gusano que se propaga a través de
Internet y los canales de IRC, y que también afecta a redes
locales. El gusano en si, es una aplicación de Windows
escrita en Delphi, de unos 90 Kb aproximadamente. Está
comprimido con una herramienta de compresión de ejecutables
PE, resultando en un tamaño muy inferior al original.
Para enviar mensajes desde la computadora infectada, el worm
utiliza dos métodos diferentes. Primero, se asegura que el
programa Eudora esté instalado en el sistema. Si lo está, el
gusano escanea la base de datos de salida (OUT.MBX), tomando
direcciones de correo de allí y enviando mensajes infectados
con una copia adjunta del propio virus a esas direcciones.
El mensaje del Worm tiene estas características:
Asunto:
concerning last week
...
Cuerpo del mensaje:
Please review the
enclosed and get back with me ASAP.
Double click the Icon to open it.
Archivo adjunto:
C:\SILVER.EXE
Luego, el worm intenta utilizar cualquier
sistema de correo instalado. Para hacer esto, el gusano
utiliza funciones MAPI para conectarse con el sistema de
e-mail instalado en la máquina, tomar de allí los mensajes,
leer las direcciones de correo y usarlas para enviar sus
copias infectadas. Si esto funciona, los mensajes generados
tendrán esta forma:
Asunto:
Re: now this is a nice
pic :-)
Cuerpo del mensaje:
Thought you might be
interested in seeing her
Archivo adjunto:
NAKED.JPG.EXE
Para afectar los clientes de IRC mIRC y
PIRCH, el worm busca las carpetas C:\MIRC, C:\MIRC32,
C:\PIRCH98 y sobreescribe los scripts de IRC con un programa
que envía copias del propio gusano a cada usuario que entre
al canal actual de conexión.
Cuando un usuario envía un mensaje a un canal de IRC,
conteniendo el texto "silverrat", el gusano contesta
a ese usuario con el mensaje: "I have the Silver Rat
virus" (de esa manera informa al creador del virus sobre
las computadoras infectadas). Si el texto
"pyrealrat" se encuentra en el canal, el script abre
la unidad C: de la máquina infectada como servidor de
archivos, permitiendo el acceso a todos los datos en dicha
unidad.
Para infectar las computadoras conectadas a una red local, el
gusano examina todos las unidades de la C: a la Z:, buscando
la presencia de una carpeta WINDOWS en ellas. Si un directorio
WINDOWS es encontrado, el worm se copia a si mismo allí y
modifica el archivo WIN.INI o el registro del sistema
(dependiendo de la versión de Windows 9x o NT, y si estas
máquinas tienen compartidas las opciones para leer y
escribir), para poder infectar estas máquinas cuando ellas se
reinicien.
Para instalarse en el sistema, el gusano se copia a si mismo
en la carpeta C:\WINDOWS como: SILVER.EXE, SILVER.VXD,
NAKED.JPG.EXE, NAKED.JPG.SCR. Y en el raíz de C:\ como
SILVER.EXE.
Luego modifica las siguientes claves del registro para
autoejecutarse en el reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKU\Software\Microsoft\Windows\CurrentVersion\Run
En todos estas claves se agrega lo
siguiente:
"Silver Rat" =
WinDir\silver.exe
donde "WinDir" es el nombre del
directorio de Windows (C:\WINDOWS por defecto).
Esto permite su ejecución cuatro veces en cada reinicio de
Windows, pero para ejecutarse más veces, y enviar más
mensajes infectados, el gusano también modifica otras claves
del registro.
Claves del registro afectadas
Las aplicaciones de Windows están asociadas a sus extensiones
de archivos, por medio de ciertas entradas en el registro.
Estas entradas apuntan a la aplicación que se ejecuta al
procesar archivos con determinadas extensiones. Cuando un
archivo es abierto, Windows usa esta extensión como
referencia para utilizar la aplicación que procesa este tipo
de archivo.
El gusano se aprovecha de esta característica de Windows y
modifica más de 100 de estas extensiones, asociándolas a si
mismo (al archivo SILVER.VXD más específicamente). Para ello
modifica por cada una de esas extensiones, estas tres
entradas:
\shell\open\command
\shell\edit\command
\Shell\play\command
El registro modificado queda entonces así:
HKCR\AIFFFILE\shell\open\command
= "C:\WINDOWS\silver.vxd 33157 "%1" %"
HKCR\AIFFFILE\shell\play\command =
"C:\WINDOWS\silver.vxd 53157 "%1" %"
HKCR\ASFFILE\shell\open\command =
"C:\WINDOWS\silver.vxd 379157 "%1" %"
donde los dígitos en la línea son los
identificadores para correr el archivo host (ver más abajo).
La lista de aplicaciones afectadas es bastante extensa
(algunas resultarán conocidas, y otras, tal vez jamás las
hayamos visto):
accesshtmlfile, iqyfile,
regedit, fonfile, accessthmltemplate, IVFfile, regfile,
GatewayFile, AIFFFILE, jpegfile, SHCmdFile, htafile,
AllaireTemplate, JSFile, SoundRec, icsfile, anifile, ldap,
tgafile, mhtmlfile, artfile, mailto, txtfile, MMS, aspfile,
mic, VBSFile, MMST, AudioCD, MIDFile, wab_auto_file, MMSU,
aufile, money, Winamp.File, NSM, AVIFile, MOVFile, WinRAR,
MSBD, Briefcase, MPEGFILE, WinRAR.ZIP, motiffile, cdafile,
Mplayer, WinZip, Msi.Package, Chat, mscfile, wrifile,
Msi.Patch, CSSfile, msee, WSFFile, ofc.Document, curfile,
msgfile, x-internet-signup, ofx.Document, Drive,
MSProgramGroup, xbmfile, pjpegfile, DrWatsonLog,
Net2PhoneApp, xmlfile, PNM, Excel.Workspace, NetscapeMarkup,
xnkfile, qwb.Document, ftp, news, xslfile, rtsp, giffile,
nntp, m3ufile, scpfile, helpfile, Notes.Link, ASFFile,
scriptletfile, hlpfile, ossfile, ASXFile, SSM, htfile,
outlook, BeHostFile, ThemeFile, htmlfile, Pbrush,
ChannelFile, TIFImage.Document, http, pcxfile, chm.file,
ttffile, https, pngfile, CMCD, WangImage.Document, icofile,
powerpointhtmlfile, Connection Manager Profile, Whiteboard,
icquser, ramfile, eybfile, WIFImage.Document, inifile,
RealMedia File, fndfile y WSHFile.
El gusano guarda las entradas originales en
otra clave del registro:
HKLM\Software\Silver Rat
Esta clave contiene la lista de todas las
que han sido reemplazadas como se muestra arriba. Esta lista
es usada por el gusano para ejecutar la aplicación original
luego de ejecutarse a sí mismo.
Este método es sumamente peligroso, ya que si el gusano es
removido del sistema, Windows no podrá ejecutar ninguna de
las aplicaciones listadas. Como resultado, Windows no
funcionará correctamente, y un mensaje del sistema avisando
que no puede encontrarse el archivo SILVER.VXD será
desplegado prácticamente cuando se intente abrir cualquier
archivo.
El gusano también evita que el registro sea restaurado desde
un respaldo, sobreescribiendo los primeros 5k de cada archivo
del registro (USER.DAT y SYSTEM.DAT) con basura y borrando los
archivos USER.DA0 y SYSTEM.DA0 del directorio de Windows, y
SYSTEM.1ST en el raíz de C:\.
Otra característica curiosa, es que agrega su propia clave de
desinstalación (uninstall) en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Silver
Rat
DisplayName = "Silver Rat Virus"
UninstallString = "c:\silver.exe /uninstall"
Como resultado, desde el Panel de Control,
Agregar o quitar programas es visible como "Silver Rat
Virus". Si pinchamos en el botón "Agregar o
quitar", se muestra la siguiente caja de mensaje:
Blood
"I have to return some videos" - American Psycho
Y llena la ventana de la papelera de
reciclaje (la primera línea) con basura.
Otras características
El gusano busca alguno de los siguientes antivirus activos y
los cierra:
AVP Monitor
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
ZoneAlarm
WRQ NAMApp Class
También busca las bases de datos de estos
antivirus y las borra:
*.AVC (AVP)
*.DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)
El gusano también intenta afectar a los
archivos .VBS pero falla, debido a un error en su
programación.
|
|
