14 - Viruteca
[ keogh ]
W32/Pibi@MM
Pibi es un gusano reportado el 13 de Septiembre del 2002 de alta propagación masiva en Internet a travÈs de mensajes de correo electrónico, vÌa el canal de Chat IRC y de la popular red de archivos compartidos Kazaa.
El gusano se propaga en uno de 3 formatos de mensajes de correo con un archivo anexado de nombre setup.exe, uno de los cuales simula haber sido enviado por Microsoft, conteniendo un supuesto parche para una vulnerabilidad del navegador Internet Explorer.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
Pibi ha sido desarrollado en lenguaje Visual C++, tiene 30 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables): http://upx.sourceforge.net
Los formatos de correo son los siguientes:
De:
Asunto: Hello
Mensaje: You will find all you need in the attachment.
Anexado: setup.exe
De: john@barrysworld.com
Asunto: Hello
Mensaje: You will find all you need in the attachment.
Anexado: setup.exe
De: "Microsoft"
Reply-To: "Microsoft"
Asunto: Internet Explorer vulnerability patch
Mensaje: You will find all you need in the attachment.
Anexado: setup.exeAl ser ejecutado el archivo infectado, el gusano se autocopia la carpeta C:WindowsSystem con el nombre de winsysnnn.exe (el valor nnn es un número aleatorio de 3 dÌgitos) y para activarse la próxima vez que se inicie el sistema, genera la siguiente llave de registro:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun] Windows = "task32 sys"El gusano intenta anular los procesos de ejecución de los programas que tengan la sub-cadena "AV" (mayormente relacionada a los software antivirus). Luego crea la siguiente llave de registro:
[HKLMSoftwareRedCellinfected] "Yes"TambiÈn se autocopia a la carpeta C:WindowsSystem con el nombre "win32sysnnn.zip" (el valor nnn es un número aleatorio) y si el compresor WinZip se encuentra instalado en el sistema, el gusano alterará las instrucciones del script.ini, en caso que el usuario tenga instalado el software mIRC para Chat.
Este script contiene las instrucciones para auto-enviar el gusano infectado, bajo formato .ZIP a otros usuarios que se encuentren conectados en una misma sesión de Chat.
Asimismo el gusano se auto-copia a la carpeta de Kazaa con los siguientes nombres:
- mirc6.exe
- winamp3.exe
- wincrack.exe
- icq2002.exe
Luego copia el código viral en formato de codificación Base64 en el archivo C:Msbootlog.sys, el cual usará para crear los archivos anexados a los mensajes que serán enviados a los buzones de correo hallados en los archivos con extensión .HTM de la carpeta "Archivos Temporales de Internet".
La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leÌdo normalmente. Para este propósito se emplea un sub-categorÌa de 65 caracteres [A-Z a-z 0-9 + / =] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para ser representados por caracteres imprimibles.
La información relacionada a la cuenta de correo y del servidor SMTP es capturada del registro, en caso contrario el gusano usa una dirección codificada con su propio servidor SMTP:
smtp.barrysworld.com, configurado para enviar mensajes cada 50 segundos.
El gusano muestra la siguiente caja de diálogo:
"This program has performed sn illegal operation"
Si la fecha es 15 de Septiembre, mostrará una ventana:
I-Worm/PiecebyPiece
"Cause nothing ever last forever we're like flowers in his vase, together.[...]"
El SCRIPT.INI es un archivo capaz de afectar a todos los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que Èste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.
Este script se puede reproducir auto-enviándose a travÈs de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.
El SCRIPT.INI puede realizar, entre otras acciones, lo siguiente:
Re-direccionar todos los mensajes enviados por el usuario, en forma abierta o privada a otro canal.
Interrumpir la sesión de IRC cuando otra persona ejecute un comando determinado.
Permitir el acceso total al sistema del usuario afectado, a travÈs de algún tipo de aplicación como el fserve, al enviar remotamente cualquier comando predefinido.
Bloquear o alterar mensajes procedentes del o de los sistemas infectados.
Enviarse en forma automática a otros usuarios.
VBS/Ednav.B@MM
Ednav.B, es un peligroso gusano polimórfico muy destructivo, reportado el 17 de Septiembre del 2002, que se propaga masivamente a travÈs de mensajes de correo, vÌa MS Outlook con un archivo anexado, de nombre aleatorio con la extensión .vbs y hace lo propio, vÌa la popular red Kazaa. Borra archivos y llaves de registro de Windows. El contenido del mensaje simula ser una actualización para servidores de correo.
Este Visual Basic Script infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Al ejecutar el archivo infectado, en forma inmediata, el gusano sobre-escribe los archivos con extensión .VBS en todas las carpetas y sub-carpetas del sistema, dejándolos inutilizables.
Si el gusano no encuentra el Microsoft Windows Script Host en el sistema, no procederá a infectarlo. Cabe mencionar que para facilitar los procesos o automatizar las tareas la mayorÌa de equipos lo tienen instalado.
El gusano busca dentro de la carpeta C:\windir\ (por defecto es C:\Windows o C:\Winnt), la carpeta SamplesWSH. Si Èsta no existe, el gusano no podrá propagarse a travÈs de KaZaA. En caso de hallarla procederá a modificar la siguiente llave del registro de Windows, para que otros usuarios puedan descargar archivos infectados desde esta carpeta:
[HKEY_CURRENT_USER\Software\Kazaa\Local\Content] Dir2 = 012345:C:%windir%SamplesWSH DisableSharing = 0Si la fecha del sistema es 1o o 31 del mes, el gusano borra todos los archivos de las capeta C:\Mis Documentos y los de todas sus sub-carpetas, mostrando uno de estos 2 mensajes:
Joke: Do not click the OK button or your My Documents files will get lost!
Serious: We have to laugh at our problems.
Cada vez que el usuario ejecute un archivo Visual Basic Script infectado, el gusano procederá a auto-enviar masivamente mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook, con dicho archivo, previamente infectado.
Si la fecha del sistema es 1o, 30 o 31 del mes actual, el gusano borrará todos los archivos del Escritorio de Windows, los cuales tienen acceso directo para su ejecución, desde ese entorno gráfico.
Este gusano polimórfico tambiÈn auto-envÌa un mensaje a las siguientes direcciones de correo:
- info@mcafee.com
- virus_research@nai.com
- virus_doctor@trendmicro.com
- support@support.trendmicro.com
- av_query@trendmicro.com
- samples@f-secure.com
- anti-virus-support@f-secure.com
- support@sophos.com
- vsample@avertlabs.com
Otra función del gusano muestra un falso mensaje para engañar al usuario: "The script demostrates how to access Excel using the windows Script host"
Asimismo, crea un enlace a C:%windir%Notepad.exe en el Escritorio del sistema infectado.
En los dÌas 29, 30 o 32 esta variante borra una llave del registro de Windows, dejando inutilizable el sistema:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]Si la fecha es 1o 0 2 del mes vigente, borra la siguiente llave de registro:
[HKEY_CURRENT_USER\SOFTWARE]Los payload de este nocivo gusano polimórfico son:
Se propaga masivamente por correo tratando de saturar los servidores. Sobre-escribe archivos con extensión .VBS, dejándolos inutilizables. Intenta infectar a los usuarios de la red Kazaa. Borra llaves del registro de Windows en fechas determinadas. Provoca fallas en el sistema operativo o lo deja inutilizable.
