Asunto: Stressed? Try Xanax!

Texto:
Hi there! Are you so stressed that it makes you ill? You're not alone! Many people suffer from stress, these days. 
Maybe you find Prozac too strong? Then you NEED to try Xanax, it's milder. Still not convinced? Check out the medical details in the attached file. Xanax might change your life!

Archivo adjunto: xanax.exe

Los usuarios de mIRC conectados a un canal de chat, pueden recibirlo en un archivo con el mismo nombre (xanax.exe).

El virus en si (32 bits), es un infector directo (infecta directamente los archivos cada vez que se ejecuta).

Cuando XANAX.EXE es ejecutado, el virus infecta directamente archivos .EXE en formato PE (ejecutables de Windows 32 bits), en la carpeta C:\WINDOWS.

El virus se copia al principio del archivo infectado, poniendo al final de su código el archivo original.

Los .EXE que comiencen con las letras E, P, R, S, T o W, no son infectados.

Cuando el virus es ejecutado desde un archivo infectado, cuyo nombre contenga una "R" antes del último carácter (Ej.: xxxRx.EXE), se muestra el siguiente mensaje:

Xanax
8-Chloro-1-methyl-6-phenyl-4H-s-triazolo (4,3-alpha)(1,4) benzodiazepine

Como el nombre del archivo del virus que se ejecuta en cada reinicio de Windows (XANSTART.EXE) cumple esa regla (la "R" es el penúltimo carácter antes de la extensión), se mostrará ese mensaje en cada reinicio.

El virus en si, es una aplicación Win32 (PE EXE), escrita en Visual C++. Su tamaño es aproximadamente 60 Kb, pero comprimido con la utilidad ASPack, su tamaño será de unos 34 Kb.

Cuando el virus se ejecuta por primera vez (doble clic), se copia a si mismo en C:\WINDOWS\SYSTEM, con dos nombres: XANAX.EXE y XANSTART.EXE.

El archivo XANSTART.EXE es agregado a la siguiente rama del registro, a los efectos de ejecutarse en cada nuevo reinicio de la computadora:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Default = C:\Windows\System\xanstart.exe

Luego, el virus actúa como dropper (un "dropper" es aquél programa que puede llevar a cabo la instalación de un virus en el sistema), liberando un script en Visual Basic llamado XANAX.VBS, en la carpeta actual.

Este script enviará el archivo XANAX.EXE de la carpeta WINDOWS\SYSTEM a los primeros 1000 usuarios (o repetirá hasta llegar a esa cifra), tomados de todas las libretas de direcciones de la PC infectada, usando para ello el Outlook.

El archivo XANAX.VBS (Visual Basic Script), solo funcionará si se tiene activo el Windows Scripting Host (ver "VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001, Algunas recomendaciones sobre los virus escritos en VBS).

El mensaje enviado, es igual al descripto al comienzo.

También modifica el archivo SCRIPT.INI (si está instalado el programa de chat mIRC en el sistema), de modo que en cada conexión a los canales de chat, el archivo XANAX.EXE será enviado a otros usuarios que comparten el mismo canal.

Para localizar el cliente mIRC, el virus busca su existencia en las siguientes carpetas, de los discos C:, D:, E: y F:

\mirc
\Program Files\mirc

Si el cliente existe, el gusano sobrescribe el archivo de configuración SCRIPT.INI

El gusano crea otros archivos en el sistema:

C:\WINDOWS\SYSTEM\HOSTFILE.EXE
C:\WINDOWS\WINSTART.BAT
C:\WINDOWS\XANAX.SYS

El archivo HOSTFILE.EXE contiene siempre el cuerpo limpio (sin infectar) del último .EXE infectado.

El archivo XANAX.SYS contiene este texto, el cuál nunca es mostrado:

Win32.HLLP.Xanax (c) 2001 Gigabyte

El archivo WINSTART.BAT contiene el código necesario para mostrar el siguiente mensaje, en cada inicio de Windows:

Do not take this medication with ethanol, Buspar (buspirone), TCA antidepressants, narcotics, or other CNS depressants. This combination can increase CNS depression. 
Be sure not to take other sedative, benzodiazepines, or sleeping pills with this drug. The combinations could be fatal. Do not smoke or drink alcohol when taking Xanax.
Alcohol can lower blood pressure and decrease your breathing rate to the point of unconsciousness. Tobacco and marijuana smoking can add to the sedative effects of Xanax.

Para eliminar este virus, utilice un antivirus al día.

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Fuente: Eugene Kaspersky (Kaspersky Antivirus), Network Associates


Ver también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS