|
VSantivirus No. 318 - Año 5 - Martes 22 de mayo de 2001
Nombre: W32/Weather (Repah)
Tipo: Gusano de Internet Win32
Fecha: 17/may/01
Alias: Win32/Repah.A, VBS/Weather, mIRC/Weather
Reportado Activo: Si
Este gusano utiliza el correo y los canales de IRC (1) para propagarse.
Si llega a nosotros en un mensaje infectado, el mismo tendrá estas características:
Asunto: Weather report
Texto:
Hello. Yes, the weather's getting better, it's real sunny
in some countries. Check the attached weather report for
your country.
Archivo adjunto: weather.txt.exe
(Traducción del mensaje: Hola. Sí, el tiempo está mejorando, está realmente soleado en algunos países. Verifique el reporte del tiempo adjunto para su país.)
El uso de la doble extensión, causa que muchos usuarios sean engañados, pensando se trata de un simple archivo de texto. Su verdadera extensión
(.EXE), permanece invisible en la configuración por defecto de Windows (ver
"Información complementaria").
Cuando se ejecuta, el gusano crea los siguientes archivos en las unidades de disco locales (si las carpetas
C:\MIRC o D:\MIRC no existen, no se copiará allí):
c:\mirc\script.ini
d:\mirc\script.ini
c:\mail.vbs
También se copia a si mismo como WEATHER.TXT.EXE en estas ubicaciones:
c:\windows\weather.txt.exe
c:\weather.txt.exe
Luego de su instalación, el gusano ejecuta el script
C:\MAIL.VBS, el cuál se encarga de enviar al propio gusano en mensajes idénticos al anteriormente descripto, a las primeras
1000 direcciones de la libreta del Outlook, y Outlook Express (o a las que existan si son menos de 1000).
Después de enviar su correo en masa, genera otros 30 mensajes y los envía a junto al archivo
AUTOEXEC.BAT de la computadora infectada, a una dirección de correo perteneciente a un miembro (Rhape79) de un conocido grupo escritor de virus (Ultimate Chaos). Las características de esos mensajes es la siguiente:
Para: rhape79@ultimatechaos.demon.co.uk
Asunto: 79 rapes a day
Texto: What's the weather like?
Archivo adjunto: c:\autoexec.bat
Ninguno de estos mensajes (ni los anteriores) quedan en la bandeja de elementos enviados, y una vez que los mismos han sido entregados, el gusano borra
C:\MAIL.VBS
El archivo SCRIPT.INI intenta enviar copias del archivo
C:\WINDOWS\WEATHER.TXT.EXE cuando el usuario utiliza el programa mIRC para conectarse a los canales de chat (IRC), distribuyéndose vía DCC
(2). Esto puede fallar en algunas situaciones.
Para eliminar el gusano, ejecute dos o más antivirus al día, y borre los archivos involucrados con el virus, así como el mensaje recibido.
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Información complementaria
Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95/98:
Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).
- En Windows Me:
Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos
conocidos" o similar. También recomendamos que MARQUE la opción
"Mostrar todos los archivos y carpetas ocultos" o similar.
Notas:
(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
(2) DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.
(c) Video Soft - http://www.videosoft.net.uy
|
|