• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Un gusano que se camufla como mensaje de Microsoft

Un gusano que se camufla como mensaje de Microsoft

17 marzo, 2002 Por Hispasec Deja un comentario

Un mensaje, falsamente firmado por Microsoft, realiza una distribución
masiva del gusano W32.Gibe.dam
En los últimos días muchas personas han recibido, por correo
electrónico, un archivo supuestamente enviado por Microsoft. En
realidad, se trata de un archivo infectado por el gusano W32.Gibe.dam.

Los mensajes, en los que figuraba como remitente la dirección «Microsoft
Corporation Security Center» y dirigidos a
«Microsoft Customer» tienen el siguiente
aspecto:

De: «Microsoft Corporation Security Center»
A: «Microsoft Customer»
Tema: Internet Security Update
Texto:
Microsoft Customer, This is the latest version of security update, the
known security vulnerabilities affecting Internet Explorer and MS
Outlook/Express as well as six new vulnerabilities, and is discussed
in Microsoft Security Bulletin MS002-005. Install now to protect your
computer from these vulnerabilities, the most serious of which could
allow an attacker to run code on your computer.

How to install
Run attached file q216309.exe

How to use
You don’t need to do anything after installing this item.

Archivo asociado: q216309.exe

El archivo asociado al mensaje en realidad es una copia del gusano
W32.Gibe.dam. Una vez más hay que recordar la importancia de ni tan
siquiera TOCAR cualquier archivo asociado a un mensaje que no se haya
solicitado expresamente, incluso cuando el programa antivirus instalado
en nuestro ordenador o en la pasarela de correo de nuestra empresa no
nos advierta de la presencia de virus.

En este caso, el autor del envío intenta engañar a los receptores
suplantando una dirección supuestamente de Microsoft. La comunicación
hace entender que se asocia el archivo de parches para Internet Explorer
y Outlook Express discutido en un boletín de seguridad de la empresa de
Redmond.

Descripción de W32.Gibe.dam

El archivo asociado al mensaje, Q2163098.EXE, está escrito en Visual
BASIC. Cuando se ejecuta realiza las siguientes acciones:

1. En primer lugar, crea los siguientes archivos:

* \WINDOWS\Q216309.EXE (122.880 bytes). Una copia completa del código
del virus.

* \WINDOWS\WTNMSCCD.DLL (122.800 bytes). Otra copia completa del código
del virus.

* \WINDOWS\BCTOOL.EXE (32.768 bytes). El componente del gusano
utilizado para la difusión del gusano a traves de Microsoft Outlook
y SMTP.

* \WINDOWS\GFXACC.EXE (20.480 bytes). Una puerta secreta (backdoor) que
abre el puerto 12378.

* \WINDOWs\02_N803.DAT (el tamaño varía). El archivo de datos creado por
el gusano para almacenar las direcciones de correo que encuentra.

* \WINDOWS\WINNETW.EXE (20.380 bytes). El componente del gusano que
busca direcciones de correo y las almacena en el archivo 02_N803.DAT.

El gusano también comprueba la posible existencia de sistemas conectados
a través de la red: en todas las unidades de disco accesibles en el
sistema infectado intenta localizar la carpeta de inicio siguiendo estas
reglas:

* Windows 2000. En los sistemas Windows 2000 se intenta copiar él mismo
en el directorio
\Documents and Settings\%Nombre_Usuario_Sistema_Infectado%\Start Menu\Programs\Startup
de cada unidad de disco.

%Nombre_Usuario_Sistema_Infectado% se sustituye por el nombre del
usuario conectado al sistema infectado. Así, si el usuario conectado es
Administrador, el virus se copiará en el directorio:

\Documents and Settings\Administrador\Start Menu\Programs\Startup

* Windows 98. En estos ordenadores, el gusano intenta copiarse en
\Windows\Start Menu\Programs\Startup de cada unidad de disco.

* Windows NT. En estos sistemas, el gusano intenta copiarse él mismo en
el directorio
\Winnt\Profiles\%Nombre_Usuario_Sistema_Infectado%\Start Menu\Programs\Startup
(aquí también %Nombre_Usuario_Sistema_Infectado% es sustituido por el
nombre del usuario conectado), en cada unidad de disco.

2. A continuación, el gusano modifica el registro del sistema infectado
añadiendo los siguientes valores:

* Modifica la entrada
HKLM\Software\Microsoft\Windows\CurrentVersion\Run añadiendo

LoadDBackUp C:\Windows\BcTool.exe
3Dfx Acc C:\Windows\GFACC.exe

* Crea la entrada HKLM\Sotware\AVTech\Settings con los siguientes
valores:

Installed … by Begbie
Default Address
Default Server

3. A continuación, mediante BcTool.exe se intenta enviar una copia del
archivo C:\Windows\Q216309.exe a todas las direcciones existentes en la
librerta de direcciones de Microsoft Outlook y en todas las direcciones
existentes dentro de los archivos .HTM, .HTML, .ASP y .PHP. Estas
direcciones son anotadas en el archivo 02_N803.DAT.

Instrucciones para la eliminación del gusano

Borrar los archivos creados por el gusano (Q216309.EXE, WTNMSCCD.DLL,
BCTOOL.EXE, GFXACC.EXE, 02_N803.DAT y WINNETW.EXE). También deben
borrarse las entradas del registro modificadas o añadidas por el gusano.

Xavier Caballé
xavi@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR