Ver Mensaje Individual
  #1 (permalink)  
Antiguo 29/11/2002, 09:20
Avatar de Tx
Tx
 
Fecha de Ingreso: enero-2002
Ubicación: Cba - Arg
Mensajes: 188
Antigüedad: 22 años, 10 meses
Puntos: 1
Exclamación Nuevo Gusano WinEvar

Gusano W32.HLLW.Winevar, apareció hace una ó dos semanas y es de distribución alta y muy destructivo.
Articulos:
- http://www.yupimsn.com/hombre/supert...ticle_id=60293 Español
- http://www.symantec.com/avcenter/ven...w.winevar.html
- http://www.europe.f-secure.com/v-descs/winevar.shtml
  • El archivo del gusano es un ejecutable Windows PE que mide aproximadamente 91Kb de largo. El gusano se escribió en Microsoft Visual C++.
  • Cuando el archivo del gusano se corre, se copia así mismo el archivo WINxxxx.PIF archive (xxxx - los caracteres del azar) al directorio del sistema de Windows.
  • Crea claves de inicio en el Registro en:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
  • Crea una descarga para el virus funlove 4099, como archivo WINxxxx.PIF ( xxxx - caracteres aleatorios) al directorio de sistema de windows.
  • Estando activo el gusano winevar continuamente busca y termina procesos y servicios que contienen el siguiente texto:
    view
    debu
    scan
    mon
    vir
    iom
    ice
    anti
    fir
    prot
    secu
    dbg
    avk
    pcc
    spy
  • Sin embargo el gusano no mata los procesos y servicios si el siguiente texto esta presente en ellos:
    microsoft
    ms
    _np
    r n
    cicer
    irmon
    smtpsvc
    moniker
    office
    program
    explorewclass
  • El gusano examina unidades de disco duro para los archivos y carpetas con el siguiente texto en sus nombres:
    antivirus
    cillin
    nlab
    vacc
    Si tal carpeta o el archivo se encuentra, el gusano intenta anular todos los archivos que contiene.
    Debido a un error en esta rutina, el gusano anula todos los archivos en una unidad de disco duro infectada.
  • Para conseguir la dirección de correo el gusano busca archivos * .HTM y * .DBX y extrae direcciones de e-mails de ellos.
  • El gusano ignora direcciones de e-mail con el siguiente texto: ' @microsoft ' para prevenir que se extienda a Microsoft.
  • Para enviar mensajes infectados el gusano usa una conexión directa a un servidor de SMTP predefinido.
  • El gusano guarda direcciones de correo de donde se ha auto envió en la siguiente clave del registro:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory]
  • Un mensaje infectado se ve así:

    Subject: Re: AVAR(Association of Anti-Virus Asia Reseachers)
    AVAR(Association of Anti-Virus Asia Reseachers) - Report.
    Invariably, Anti-Virus Program is very foolish.
    Attached file names:
    WINxxx.TXT (12.6 KB) MUSIC_1.HTM
    WINxxx.GIF (120 bytes) MUSIC_2.CEO
    WINxxx.PIF
    Las ‘xxx’ representan los caracteres al azar.
  • Para ejecutar un mensaje infectado usa el Iframe exploit (ampliamente usado por gusanos).
    El parche esta aquí: http://www.microsoft.com/windows/ie/...ie/default.asp
  • También el gusano usa una vulnerabilidad de Microsoft VM ActiveX. Más info
  • El gusano intenta continuamente bajar la página del sitio de Symantec.com a un archivo temporal, entonces anula este archivo. Esto puede crear un ataque Dos ( Denial of Service) en caso de que el gusano se expanda ampliamente.
  • Winevar intenta copiarse como EXPLORER.PIF a una carpeta del escritorio. El gusano también contiene código, el que se parece a una rutina incompleta de expansión en la red.
  • El gusano cambia la registración de Windows de la PC infectada por:
    - Registered Organization: Trand Microsoft Inc.
    - Registered Owner: AntiVirus
  • Winevar crea una mutación de si mismo con el siguiente nombre:
    ~~ Drone Of StarCraft~~

Ya estan disponibles la actualizaciones de los princiales antivirus, a bajarlas.....
Saludos....

Última edición por Tx; 29/11/2002 a las 09:23