Gusano W32.HLLW.Winevar, apareció hace una ó dos semanas y es de distribución alta y muy destructivo.
Articulos:
-
http://www.yupimsn.com/hombre/supert...ticle_id=60293 Español
-
http://www.symantec.com/avcenter/ven...w.winevar.html
-
http://www.europe.f-secure.com/v-descs/winevar.shtml - El archivo del gusano es un ejecutable Windows PE que mide aproximadamente 91Kb de largo. El gusano se escribió en Microsoft Visual C++.
- Cuando el archivo del gusano se corre, se copia así mismo el archivo WINxxxx.PIF archive (xxxx - los caracteres del azar) al directorio del sistema de Windows.
- Crea claves de inicio en el Registro en:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices] - Crea una descarga para el virus funlove 4099, como archivo WINxxxx.PIF ( xxxx - caracteres aleatorios) al directorio de sistema de windows.
- Estando activo el gusano winevar continuamente busca y termina procesos y servicios que contienen el siguiente texto:
view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy - Sin embargo el gusano no mata los procesos y servicios si el siguiente texto esta presente en ellos:
microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass - El gusano examina unidades de disco duro para los archivos y carpetas con el siguiente texto en sus nombres:
antivirus
cillin
nlab
vacc
Si tal carpeta o el archivo se encuentra, el gusano intenta anular todos los archivos que contiene.
Debido a un error en esta rutina, el gusano anula todos los archivos en una unidad de disco duro infectada. - Para conseguir la dirección de correo el gusano busca archivos * .HTM y * .DBX y extrae direcciones de e-mails de ellos.
- El gusano ignora direcciones de e-mail con el siguiente texto: ' @microsoft ' para prevenir que se extienda a Microsoft.
- Para enviar mensajes infectados el gusano usa una conexión directa a un servidor de SMTP predefinido.
- El gusano guarda direcciones de correo de donde se ha auto envió en la siguiente clave del registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory] - Un mensaje infectado se ve así:
Subject: Re: AVAR(Association of Anti-Virus Asia Reseachers)
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.
Attached file names:
WINxxx.TXT (12.6 KB) MUSIC_1.HTM
WINxxx.GIF (120 bytes) MUSIC_2.CEO
WINxxx.PIF
Las ‘xxx’ representan los caracteres al azar.
- Para ejecutar un mensaje infectado usa el Iframe exploit (ampliamente usado por gusanos).
El parche esta aquí: http://www.microsoft.com/windows/ie/...ie/default.asp - También el gusano usa una vulnerabilidad de Microsoft VM ActiveX. Más info
- El gusano intenta continuamente bajar la página del sitio de Symantec.com a un archivo temporal, entonces anula este archivo. Esto puede crear un ataque Dos ( Denial of Service) en caso de que el gusano se expanda ampliamente.
- Winevar intenta copiarse como EXPLORER.PIF a una carpeta del escritorio. El gusano también contiene código, el que se parece a una rutina incompleta de expansión en la red.
- El gusano cambia la registración de Windows de la PC infectada por:
- Registered Organization: Trand Microsoft Inc.
- Registered Owner: AntiVirus - Winevar crea una mutación de si mismo con el siguiente nombre:
~~ Drone Of StarCraft~~
Ya estan disponibles la actualizaciones de los princiales antivirus, a bajarlas.....
Saludos....