I-Worm.Goner
Hay un nuevo virus propagandose por internet atachado a mensajes de correos electrónicos o mediante ICQ. También ataca por canales de IRC mediante un troyano.
El gusano es un archivo Windows PE EXE de alrededor de 38 Kb, escrito en Visual Basic y empaquetado con el programa UPX. Al desempaquetarse tiene un tamaño de alrededor de 148Kb.
Los mensajes infectados son:
- Asunto: Hi
Adjunto: gone.scr
Cuerpo del mensaje:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
El gusano solo se activa si el usuario ejecuta el archivo adjunto, momento en el que se instala en el sistema, ejecuta la rutina para propagarse y cargarse. Mustra una ventana con el texto:
- pentagone
- coded by: suid
- tested by: ThE_SKuLL and satan
- greetings to: TraceWar,k9-unit, stef16,
- ^Reno.
-
- greetings also to nonick2 out
there where ever you are
Figura 1.
Y después mostrará:
Figura 2.
Instalación:
Al instalarse, el gusano se copia en el directorio del sistema de Windows con el nombre GONE.SCR, y registra este archivo en el registro del sistema:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- C:\WINDOWS\SYSTEM\GONE.SCR = C:\WINDOWS\SYSTEM\GONE.SCR
Después, el gusano esconde su ventana principal y continua propagandose.
Propagación vía correo electrónico:
Para enviar correos infectados el virus utiliza las direcciones encontradas en la libreta de direcciones de Outlook.
Propagación vía ICQ:
El virus tiene la capacidad de propagarse vía el cliente ICQ, utilizando la librería ICQMAPI.DLL, copiándola en el directorio del sistema de Windows. El gusano se autoenvia a todos los usuarios en linea incluidos en la lista, responde a peticiones del programa cliente, comprobando y respondiendo las peticiones de las ventanas de diálogo.
Lista de ventanas:
- Send Online File
- Send Online File Request
Periódicamente el virus busca ventanas y las cierra. Los títulos que busca son:
- User has declined your request
- Can't Send File Request
- Send Online File [User Is in N/A mode]
- Send Online File [User Is Away]
- Send Online File [User Is Occupied]
- Send Online File [User Is in DND mode]
- User has declined your request
- Can't Send File Request
- Send Online File Request [User Is in N/A mode]
- Send Online File Request [User Is Away]
- Send Online File Request [User Is Occupied]
- Send Online File Request [User Is in DND mode]
Ataque de canales de IRC:
El virus escanea los directorios de los discos duros locales en busca del archivo MIRC.INI. Crea el archivo nuevo REMOTE32.INI en este directorio y lo añade al archivo MIRC.INI. El gusano, periodicamente, entra con un usuario aleatorio al canal IRC #pentagonex en el servidor twisted.ma.us.dal.net.
Efectos en el sistema:
El virus es destructivo.
Busca los siguientes procesos en memoria para deshabilitar y borrar antivirus:
- FINET.EXE
- APLICA32.EXE
- ZONEALARM.EXE
- ESAFE.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET32.EXE
- PCFWallIcon.EXE
- FRW.EXE
- VSHWIN32.EXE
- VSECOMR.EXE
- WEBSCANX.EXE
- AVCONSOL.EXE
- VSSTAT.EXE
- NAVAPW32.EXE
- NAVW32.EXE
- AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPM.EXE
- AVP.EXE
- LOCKDOWN2000.EXE
- ICLOAD95.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICLOADNT.EXE
- ICSUPPNT.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- SAFEWEB.EXE
- C:\SAFEWEB\
Una vez encontrados los detiene, momento en el que empieza a buscar y eliminar todos los archivos bajo el directorio desde el que se ejecutaron los procesos anteriores.
Si algún archivo no puede ser eliminado en ese momento, añadirá una línea al wininit.ini y el archivo será eliminado al reiniciar el sistema.
Se recomienda a los usuarios tengan actualizado el antivirus y en caso de estar infectados, se pongan en contacto con nosotros en: soporte@codine.es
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
