Aunque todavía estamos en noviembre la Navidad está próxima y como tal
son clásicas las felicitaciones vía correo electrónico, medio empleado
por los virus para reproducirse. Todavía se recuerdan los efectos y
propagación de Happy99, en esta ocasión se ha detectado la propagación
de W32/Navidad.
W32/Navidad es un nuevo gusano que se distribuye a través del correo
electrónico, este virus ya ha empezado a reproducirse en Sudamérica y
Estados Unidos. El gusano llega al usuario en forma de e-mail con un
archivo adjunto con el nombre NAVIDAD.EXE, y ya se encuentra «in the
wild» aunque su riesgo a sido evaluado como medio. Pero debido a su
nombre español no dudamos de que llegará a nuestro país en breve.
La parte vírica del mensaje reside precisamente en el archivo adjunto
NAVIDAD.EXE que no deberá ser ejecutado bajo ningún concepto. Si se
llega a ejecutar mostrará una ventana de error con el texto «UI» tras
esto un icono de un ojo azul aparecerá en los iconos del sistema junto
al reloj, en la esquina inferior derecha de la pantalla. El gusano
grabará una copia de si mismo en el directorio System de Windows bajo
los nombres WINSVRC.VXD y WINSVRC.EXE y creará las siguientes claves
en el registro:
HKEY_CURRENT_USER\SOFTWARE\Navidad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe «%1» %*
HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe «%1» %*
En esta última entrada su acción consistirá en modificar su valor
original «%1» %* .
Para eliminar el gusano de los sistemas afectados será necesario
eliminar las claves creadas en el registro y restaurar el valor
original de la clave modificada por el virus. Para ejecutar el editor
del registro (regedit.exe) será necesario crear una copia como
regedit.com ya que debido a un error de programación el sistema será
incapaz de ejecutar ningún programa de extensión .EXE.
Como hemos mencionado tras ejecutar el gusano se evidenciará la
presencia de un icono con un ojo, al situar el cursor sobre el icono,
se mostrará el mensaje «Lo estamos mirando…». Al pulsar sobre el
icono aparecerá un botón con el texto «Nunca presionar este botón». Si
se presiona el botón aparecerá una ventana titulada «Feliz Navidad»,
con el mensaje «Lamentablemente cayo en la tentación y perdió su
computadora».
A pesar del aviso el programa no destruye nada en el ordenador del
usuario afectado, aunque las modificaciones que realiza en el registro
impiden que el sistema pueda ejecutar archivos de extensión .EXE.
El virus se reproduce al responder de forma automática a todos los
mensajes con archivos adjuntos que llegan al buzón de Inbox del
usuario afectado. Para ello hace uso del MAPI de Microsoft Outlook al
igual que trabajaban otros gusanos como LoveLetter o Melissa. La
respuesta generada consistirá en el mismo asunto y cuerpo pero con el
archivo NAVIDAD.EXE como adjunto.
Desde Hispasec queremos aprovechar esta oportunidad para recordar el
peligro de abrir o ejecutar archivos que se reciben adjuntos sin
conocimiento de lo que realmente consisten.
antonior@hispasec.com
Más información:
McAfee:
http://vil.mcafee.com/dispVirus.asp?virus_k=98881&
Sybari:
http://www.sybari.com./alerts/alertdetail.asp?Name=W32/Navidad
Symantec:
http://www.symantec.com/avcenter/venc/data/w32.navidad.html
Panda Software:
http://www.pandasoftware.es/enciclopedia/gusano/W32Navidad_1.htm
Deja una respuesta