tecnologías

Por Sonia Rizzitano
soniarizzitano@yahoo.com.ar
Informe sobre virus
Gusanos al ataque
Nuevo gusano de propagación masiva (W32/Goner)
Se ha detectado un nuevo gusano que bajo el nombre de
Goner se está propagando en la actualidad de forma
rápida.

Este nuevo gusano se distribuye mediante correo electrónico y la red de ICQ con forma de salvapantallas. Este virus ha sido bautizado como Gone, Goner o Pentagone infecta los lectores de correo de Microsoft, Outlook y Outlook Express, mediante la distribución de un archivo de nombre GONE.SCR

Al contrario que los últimos virus (como Badtrans) que eran capaces de ejecutarse automáticamente y por eso han alcanzado un mayor índice de propagación, Goner debe ser ejecutado de forma manual por el usuario para su reproducción.

Así se presenta:

El cuerpo y el asunto de los mensajes infectados es idéntico en todos los casos, lo cual debe ayudar a facilitar su infección. Tras la infección, y como es habitual, el gusano envía una copia de sí mismo a cada contacto existente en la agenda de direcciones del usuario infectado.

El gusano tiene el siguiente aspecto:

Asunto: Hi

Adjunto: GONE.SCR

Texto del mensaje: When I saw this screen saver, I immediately thought about you

I am in a harry, I promise you will love it!

Acciones maliciosas:

Cuando se ejecuta el adjunto gone.scr se efectúa una copia del archivo del gusano en %System%GONE.SCR. Este archivo se autoejecutará cada vez que Windows se inicie, para lo que crea la siguiente clave en el
registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun%System
%gone.scr = %System%gone.scr

El gusano tiene la capacidad para propagarse a través de la Red de mensajería instantánea ICQ en caso de que ésta se encuentre instalada. Goner hace uso de ICQMAPI.DLL de ICQ para enviar copias de sí mismo a
todos los contactos que se encuentren on-line. A pesar del envío el contacto deberá aprobar su recepción y posteriormente ejecutar el archivo para ser infectado.

Goner también incluye una puerta trasera para infectar los clientes mIRC de IRC, con objeto de realizar ataques de denegación de servicio en dicha red. Para este propósito creará el archivo remote.ini con un script que se iniciará cada vez que se arranque el mIRC. Gracias a este script el autor podrá iniciar ataques de Denegación de Servicio (DoS) contra los canales IRC en los que se encuentre el usuario infectado.

El gusano incluye una carga destructiva al intentar desactivar determinados programas de software antivirus o firewalls personales que se encuentren
instalados. Para ello tratará de eliminar los siguientes archivos :

IAMAPP.EXE de AtGuard Personal Firewall
IAMSERV.EXE de AtGuard Personal Firewall
APLICA32.EXE
ZONEALARM.EXE de ZoneLabs ZoneAlarm
ESAFE.EXE de eSafe, Aladdin Knowledge Systems
CFIADMIN.EXE de ConSeal PC Firewall
CFIAUDIT.EXE de ConSeal PC Firewall
CFINET.EXE de ConSeal PC Firewall
CFINET32.EXE de ConSeal PC Firewall
PCFWallIcon.EXE de ConSeal PC Firewall
FRW.EXE de ConSeal PC Firewall
VSHWIN32.EXE de McAfee VirusScan
VSECOMR.EXE de McAfee VirusScan
WEBSCANX.EXE de McAfee VirusScan
AVCONSOL.EXE de McAfee VirusScan
VSSTAT.EXE de McAfee VirusScan
NAVAPW32.EXE de Norton AntiVirus
NAVW32.EXE de Norton AntiVirus
_AVP32.EXE de AVP Scanner
_AVPCC.EXE de AVP Control Centre Application
_AVPM.EXE de AVP Monitor
AVP32.EXE de AVP Scanner
AVPCC.EXE de AVP Control Centre Application
AVPM.EXE de AVP Monitor
AVP.EXE de AntiViral Toolkit Pro (AVP)
LOCKDOWN2000.EXE de LockDown 2000
ICMON.EXE de Sophos Antivirus Monitor
ICLOAD95.EXE de Sophos Antivirus para Windows 95
ICSUPP95.EXE de Sophos Antivirus para Windows 95

ICLOADNT.EXE de Likely Sophos Antivirus para Windows NT ICSUPPNT.EXE de Likely Sophos Antivirus para Windows NT TDS2-98.EXE de TDS-2 Trojan Defense Suite TDS2-NT.EXE de TDS-2 Trojan Defense Suite SAFEWEB.EXE de Safeweb.

Si el gusano encuentra alguno de estos archivos en memoria, terminará su ejecución y borrará todos los archivos que se encuentren en el directorio de dicho archivo. Con esto conseguirá inutilizar aplicaciones como ZoneAlarm, VirusScan o AVP.

Eliminación:

Una vez más, recordamos la regla de oro: "No abrir archivos adjuntos que no hayamos solicitado" y proceder a la actualización del antivirus. Para eliminar el gusano del sistema se deberá eliminar la clave del registro creada por Goner: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun%System
%gone.scr = %System%gone.scr

Y eliminar el archivo GONE.SCR del sistema, que dependiendo del sistema operativo podrá encontrarse en C:WINDOWSsystem o en C:WINNTsystem32.

más notas

imprimir nota

Información: info@caminandoutopias.org.ar


mail2web.com - Lea su correo electrónico

Lea todos sus correos POP3 desde cualquier equipo, en cualquier lugar del mundo.
¡Sin necesidad de registrarse!

Creative Commons License This work is licensed under a Creative Commons License.