| |
Martes 15 de junio de 1999.
Más sobre el "I-Worm.ZippedFiles"
Nombre: IWorm/ZippedFiles
El CERT (Carnegie Mellon
University) ha revelado nueva información con
respecto al gusano "ExploreZip", y
expertos de "HispaSec" han advertido de estas
posibilidades.
El worm Zipped_files también es capaz de
reproducirse y ejercer su acción dañina a
través de una red local. Si encuentra acceso al
directorio Windows de cualquier usuario de la red
procederá a la infección de dicho equipo
copiándose y modificando los archivos WIN.INI
encontrados, además de destruir los archivos
.DOC (documentos Microsoft Word), .XLS (hojas de
cálculo Excel), .PPT (presentaciones
PowerPoint), .ASM (código fuente en assembler),
.C, .H y .CPP (código fuente y librerías de C y
C++).
Puede borrar archivos compartidos y con permisos
de escritura, a través de un entorno de red, aun
cuando no estén mapeados (como unidades) en la
computadora infectada. El gusano, borra en forma
continua todos los archivos mencionados en
cualquier unidad de disco de una red de
computadoras. Sin embargo, parece no borrar
archivos con atributos de "ocultos" o
de "sistema".
Esto es de extrema gravedad en entornos
corporativos, en los que puede (y lo ha hecho
ya), causar grandes e irreparables daños, al ser
capaz de infectar máquinas sin la necesidad de
la acción del usuario, como en el caso de tener
que abrir y ejecutar un archivo adjunto a un
e-mail.
Sistemas afectados: Windows 95, Windows 98 y
Windows NT. Computadoras con archivos compartidos
bajo estos sistemas, y que pueden ser modificadas
por el usuario de una PC infectada.
Modificaciones al sistema:
El programa "zipped_files.exe" genera
una copia de sí mismo en un archivo llamado
explore.exe en las siguientes ubicaciones.
En Windows
98:
C:\WINDOWS\SYSTEM\Explore.exe.
En Windows
NT:
C:\WINNT\System32\Explore.exe.
Este archivo es
una copia idéntica del trojan original
(zipped_files.exe), y tiene un tamaño de 210.432
bytes.
En Windows 98, el programa crea esta entrada en
el archivo WIN.INI:
run=C:\WINDOWS\SYSTEM\Explore.exe
En Windows NT,
la entrada se hace en el registro del sistema:
[HKEY_CURRENT_USER\
Software\Microsoft\Windows\NT\
CurrentVersion\Windows]
run="C:\WINNT\System32\Explore.exe"
Propagación
a través de archivos compartidos:
Una vez que "explore.exe" se esté
ejecutando, y CADA VEZ que el programa se vuelva
a ejecutar, el programa investigará las unidades
conectadas a una red de computadoras, en busca de
todos los recursos compartidos que contengan un
archivo "WIN.INI" con una sección
[Windows] válida en ellos.
Por cada archivo encontrado, intentará hacer una
copia de si mismo a un archivo llamado
"_setup.exe", y procederá a modificar
el WIN.INI agregando en ellos la entrada:
"run=_setup.exe".
La PC que ejecuta el programa infectado, necesita
tener permiso (acceso de escritura) para
modificar archivos en la máquina que resulta la
"víctima". El archivo
"_setup.exe" es idéntico al archivo
original (zipped_files.exe) y al archivo
"explore.exe".
El original infectado, continuará examinando la
red en busca de todas las unidades mapeadas que
contengan archivos WIN.INI. Para cada unidad
encontrada, "re-infectará" el sistema
de la víctima como se describió más arriba.
En Windows 98, al tener la línea
"run=_setup.exe" como entrada en su
WIN.INI, el C:\WINDOWS\_setup.exe se ejecuta
automáticamente cada vez que un nuevo usuario
reinicia ese PC. En Windows NT, una entrada
"run=_setup.exe" en el archivo de
WIN.INI parece no hacer que el programa sea
ejecutado automáticamente.
Cuando se ejecuta ese "_setup.exe", el
programa intentará hacer otra copia de sí mismo
en C:\WINDOWS\SYSTEM\Explore.exe, modificar los
WIN.INI nuevamente, reemplazando el
"run=_setup.exe" por un
"run=C:\WINDOWS\SYSTEM\Explore.exe".
Por lo tanto, cada vez que el gusano se ejecuta
como "_setup.exe", configura el sistema
para que se inicie más tarde como explore.exe.
Pero cuando se ejecuta como
"explore.exe", intentará modificar
archivos WIN.INI válidos en cada unidad mapeada,
configurando esos archivos a su vez para ejecutar
"_setup.exe".
Propagación vía e-mail:
Como vimos, el gusano se propaga al contestar
cualquier nuevo e-mail que se reciba en la
computadora infectada. Los mensajes de respuesta
son similares al que se recibió con el virus, y
cada uno contiene otra copia adjunta del archivo
"zipped_files.exe".
Debemos tener en cuenta que muchos anti-virus
pueden descubrir y quitar el archivo ejecutable
en la computadora local, pero debido al proceso
continuo de re-infección (similar a un
"ping-pong"), simplemente quitando
todas las copias del programa existentes en un
sistema infectado no podemos asegurarnos que
nuestro sistema sea infectado nuevamente. Para
prevenir esta re-infección, no debemos compartir
recursos con unidades que contengan un archivo
WIN.INI. El consejo dado por el CERT es
desactivar todos los recursos compartidos que
contengan el archivo WIN.INI (por lo general
discos C: de unidades compartidas, aunque no
necesariamente).
[Datos extraídos del boletín del CERT
Coordination Center de la Carnegie Mellon
University].
Vea más datos (y formas de eliminarlo) en
nuestro articulo: Un peligro mortal llamado
"I-Worm.ZippedFiles"
|
|
