Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/XTC@MM. Nueva técnica y una curiosa historia
 
VSantivirus No. 152 - Año 4 - Jueves 7 de diciembre de 2000

Virus: W32/XTC@MM. Nueva técnica y una curiosa historia

Es muy común que un virus aparezca con varios nombres. Y también lo es que diferentes compañías antivirus se atribuyan "el descubrimiento" de tal o cual virus. Lamentablemente, esto no hace más que confundir al usuario. Pero en este caso, este virus esconde detrás, una historia por lo menos curiosa y diferente. Como es nuestra costumbre, haremos a continuación una descripción del mismo, pero antes, creemos interesante que usted sepa algunos antecedentes.

La empresa Central Command, fue durante mucho años el representante para Estados Unidos del antivirus AVP. Sin embargo, según los creadores oficiales de este antivirus (Kaspersky Lab), esta empresa nunca se comportó adecuadamente, causando confusiones entre muchos usuarios (su dominio avp.com fue siempre indicado como sitio oficial del antivirus AVP cuando no lo era).

Debido a esta y otras desinteligencias entre ambas empresas, desde hace casi un mes, Central Command dejó de dar soporte a AVP (sin dar explicaciones, ni tampoco soporte a los usuarios registrados anteriormente), y empezó a publicitar un antivirus totalmente diferente, sospechosamente con nombre parecido, AVX (ver la historia completa sobre este tema, en la página del distribuidor español del AVP, http://www.avp-es.com/noticias/avx.html).

A un mes de ese hecho, sale a la luz un nuevo virus, que simula ser una herramienta de actualización del AVX, el mencionado antivirus comercializado por Central Command.

Este virus fue reportado el 4 de diciembre por McAfee. Dos días después, Central Command en sus páginas, asegura haber descubierto el virus (una constatación de fechas parece desmentir esto). Lo curioso de esta historia, en todo caso, es que el virus, de alguna forma, retorcida si se quiere, promociona, para bien o para mal, al nuevo antivirus de Central Command.

Esos son los hechos, y nos pareció oportuno comentarlos. Si la historia merece conclusiones, no es nuestra intención hacerlas, pero sin dudas se trata de una situación un tanto... atípica.

Descripción

Nombre: W32/XTC@MM
Tipo: Gusano de Internet y Trojan Backdoor
Alias: I-Worm.XTC, W32/Xtc
Fecha: 4/dic/00
Tamaño: 20,481 bytes

Se trata de un gusano capaz de enviar mensajes en masa, además de actuar como trojan backdoor (permite el acceso a su computadora por la "puerta trasera", sin su consentimiento).

Es capaz además de propagarse a través de redes locales.

El virus arriba en un ejecutable comprimido y encriptado, adjunto a un mensaje con las siguientes características:

De: support@avx.com
Asunto: AVX update notification

Texto:
Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It's small, it's efficent, it's secure and powerful. No special licence is needed, it's freeware. We hope you enjoy AntiVirus eXpert and share it with your friends. 

Best regards,
AVX developement team.


Archivo adjunto: SERVICES.EXE

Traducción:
Hola, nos gustaría notificarle sobre el más reciente software diseñado por SOFTWIN company. Este programa constantemente monitorea la red por las más nuevas alertas de virus y base de datos de anti-virus. En el caso de aparecer algún nuevo virus en-lo-salvaje, inmediatamente le pedirá descargar la versión más reciente de AntiVirus eXpert 2000 (AVX). Es pequeño, es eficiente, es seguro y poderoso. Ninguna licencia especial se requiere, es freeware. Esperamos que usted disfrute de AntiVirus eXpert y lo comparte con sus amigos.

Saludos, 
El equipo de desarrollo de AVX.


Como veremos, las características del virus no son muy comunes.

El virus puede utilizar el IRC (Internet Relay Chat) y el protocolo FTP para recibir actualizaciones.

Cuando se ejecuta el archivo recibido, SERVICES.EXE, el virus realiza las siguientes acciones:

Examina la presencia de cualquier software "anti-debugging" (usados para examinar el código de los ejecutables). Si encuentra alguno, el programa congela a la computadora, al mismo tiempo que despliega un mensaje de error.

Genera el archivo SERVICES.EXE en la carpeta C:\WINDOWS.

En Windows 9x y Me, la siguiente clave del registro es creada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XTCUpdate=C:\WINDOWS\SERVICES.EXE

Esto hará que el gusano se ejecute en cada reinicio de Windows.

Este gusano utiliza una técnica nueva para seleccionar las direcciones a las cuáles enviarse, y además puede ser controlado en forma remota a través de Internet.

A diferencia de gusanos anteriores, no utiliza la libreta de direcciones, ni las carpetas de mensajes para sacar su "lista de envío".

Además, como vimos, puede conectarse a un canal de IRC y actualizarse en forma silenciosa, al mismo tiempo que a través de él, el operador de ese canal puede llevar a cabo varios acciones en la computadora de la víctima.

Las acciones que puede llevar a cabo el virus son:

1. Envío masivo de si mismo a direcciones de correo encontradas en todos los archivos HTML contenidos en la carpeta de archivos temporales de Internet.

2. Propagarse a través de los recursos compartidos en una red local.

3. Alteración de la página de inicio del Internet Explorer por la de http://www.therainforestsite.com y también la de búsqueda.

4. Conectarse a un servidor de IRC y unirse silenciosamente al canal donde el operador del mismo podrá tomar el control de la computadora "víctima", y realizar las siguientes tareas:

  • Iniciar un ataque de Denegación de Servicio (DoS).
  • Enviar el gusano a una dirección de correo especificada.
  • Desinstalar al gusano.
  • Descargar archivos y programas, y ejecutarlos.
  • Ejecutar comandos de IRC.
  • Cambiar la página de inicio del Internet Explorer.
  • Obtener el nombre de la computadora de la víctima.
  • Crear y borrar archivos y directorios.
  • Ejecutar programas.

Para removerlo de su computadora, elimine la clave mencionada del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XTCUpdate=C:\WINDOWS\SERVICES.EXE

Borre luego el archivo SERVICES.EXE en C:\Windows

Note que la característica de actualización, podría implementar nuevas características a este virus, por lo que siempre recomendamos practicar lo aconsejado en nuestras "Pautas generales para mantenerse alejado de los virus".

Fuentes: McAfee, Central Command, AVP, Sophos

 

Copyright 1996-2000 Video Soft BBS