IRC/Theme.worm. Lara Croft y un nuevo concepto en virus

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 425 - Año 5 - Jueves 6 de setiembre de 2001

Nombre: IRC/Theme.worm
Tipo: Gusano de mIRC
Alias: LaraCroft.worm
Fecha: 4/set/01

Lara Croft Theme, no es un simple tema de escritorio de Windows. Es el primer virus detectado que utiliza este medio para propagarse, según informa Kaspersky Antivirus.

Aunque no se han detectado más que uno o dos casos de infección, la aparición de este gusano (como anécdota, descubierto por un activo integrante de nuestra lista VSAyuda, historia que ampliaremos en un próximo boletín), demuestra la posibilidad de usar este nuevo campo para las infecciones, siendo un virus de los denominados "proof-of-concept" o "prueba de concepto".

Es un gusano de IRC que pretende, como vimos, ser un tema de escritorio basado en "Lara Croft", la protagonista de la saga de juegos "Tomb Raider", teniendo como base su nueva versión cinematográfica. Existe al menos otra versión, la cuál es llamada "Mesut Theme".

Un tema de escritorio (o "Theme"), es una interface gráfica de usuario, que reemplaza sonidos, iconos, fondos de escritorio y otras variables, personalizando todo el entorno gráfico de Windows, con un determinado "tema".

Aunque este gusano específico, como vimos, no se ha propagado (y pensamos que tendrá pocas posibilidades de hacerlo, al menos con el uso del IRC para su envío), es importante que el usuario tome conciencia del riesgo de utilizar temas de escritorio descargados de Internet, o de otras fuentes, sin tomar las debidas precauciones, incluso en previsión de futuras creaciones, posiblemente más destructivas.

Esta versión del gusano, intenta conectarse solamente a otros usuarios de un mismo canal de chat, a través del programa mIRC (un conocido cliente de chat).

En ese caso, despliega este mensaje:

Hi there!! Check out tiz Lara Croft desktop theme: Click on the Preview screen saver button, its the best i've ever seen

El mensaje, pretende convencer al usuario para que pulse en el botón de vista previa para "maravillarse" con el nuevo tema.

El gusano se activará solo si el usuario, o bien escoge usar este tema de escritorio en su PC, o bien prueba la opción "salvador de pantalla" (screen saver).

Si el usuario pincha sobre el botón de vista previa del salvador de pantallas, el código malicioso se activará, alterando el escritorio, y agregando o modificando los siguientes archivos:

Modifica el archivo de configuración del mIRC:

\mirc\script.ini

Agrega los siguientes archivos:

windows\win.vbe
windows\laracroft.theme
windows\mesut.theme
c:\test.bat

Es importante hacer notar que en cualquier caso, la infección ocurrirá cuando el usuario ejecute manualmente el tema, o utilice la opción "vista previa" del salvador de pantallas.

Recuerde que los creadores de virus siempre buscarán nuevos métodos para convencerlo abrir enlaces sospechosos.

Sea precavido al recibir archivos a través de los canales de IRC. Sólo acéptelos (con restricciones), de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Para eliminar el virus IRC/Theme de un sistema infectado, ejecute un antivirus al día.

Glosario:

IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.

Fuente: Kaspersky Antivirus, Symantec
(c) Video Soft - http://www.videosoft.net.uy