Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Un gusano que se camufla como mensaje de Microsoft

Un gusano que se camufla como mensaje de Microsoft

Por Leave a Comment

Un mensaje, falsamente firmado por Microsoft, realiza una distribución
masiva del gusano W32.Gibe.dam
En los últimos días muchas personas han recibido, por correo
electrónico, un archivo supuestamente enviado por Microsoft. En
realidad, se trata de un archivo infectado por el gusano W32.Gibe.dam.

Los mensajes, en los que figuraba como remitente la dirección «Microsoft
Corporation Security Center» y dirigidos a
«Microsoft Customer» tienen el siguiente
aspecto:

De: «Microsoft Corporation Security Center»
A: «Microsoft Customer»
Tema: Internet Security Update
Texto:
Microsoft Customer, This is the latest version of security update, the
known security vulnerabilities affecting Internet Explorer and MS
Outlook/Express as well as six new vulnerabilities, and is discussed
in Microsoft Security Bulletin MS002-005. Install now to protect your
computer from these vulnerabilities, the most serious of which could
allow an attacker to run code on your computer.

How to install
Run attached file q216309.exe

How to use
You don’t need to do anything after installing this item.

Archivo asociado: q216309.exe

El archivo asociado al mensaje en realidad es una copia del gusano
W32.Gibe.dam. Una vez más hay que recordar la importancia de ni tan
siquiera TOCAR cualquier archivo asociado a un mensaje que no se haya
solicitado expresamente, incluso cuando el programa antivirus instalado
en nuestro ordenador o en la pasarela de correo de nuestra empresa no
nos advierta de la presencia de virus.

En este caso, el autor del envío intenta engañar a los receptores
suplantando una dirección supuestamente de Microsoft. La comunicación
hace entender que se asocia el archivo de parches para Internet Explorer
y Outlook Express discutido en un boletín de seguridad de la empresa de
Redmond.

Descripción de W32.Gibe.dam

El archivo asociado al mensaje, Q2163098.EXE, está escrito en Visual
BASIC. Cuando se ejecuta realiza las siguientes acciones:

1. En primer lugar, crea los siguientes archivos:

* \WINDOWS\Q216309.EXE (122.880 bytes). Una copia completa del código
del virus.

* \WINDOWS\WTNMSCCD.DLL (122.800 bytes). Otra copia completa del código
del virus.

* \WINDOWS\BCTOOL.EXE (32.768 bytes). El componente del gusano
utilizado para la difusión del gusano a traves de Microsoft Outlook
y SMTP.

* \WINDOWS\GFXACC.EXE (20.480 bytes). Una puerta secreta (backdoor) que
abre el puerto 12378.

* \WINDOWs\02_N803.DAT (el tamaño varía). El archivo de datos creado por
el gusano para almacenar las direcciones de correo que encuentra.

* \WINDOWS\WINNETW.EXE (20.380 bytes). El componente del gusano que
busca direcciones de correo y las almacena en el archivo 02_N803.DAT.

El gusano también comprueba la posible existencia de sistemas conectados
a través de la red: en todas las unidades de disco accesibles en el
sistema infectado intenta localizar la carpeta de inicio siguiendo estas
reglas:

* Windows 2000. En los sistemas Windows 2000 se intenta copiar él mismo
en el directorio
\Documents and Settings\%Nombre_Usuario_Sistema_Infectado%\Start Menu\Programs\Startup
de cada unidad de disco.

%Nombre_Usuario_Sistema_Infectado% se sustituye por el nombre del
usuario conectado al sistema infectado. Así, si el usuario conectado es
Administrador, el virus se copiará en el directorio:

\Documents and Settings\Administrador\Start Menu\Programs\Startup

* Windows 98. En estos ordenadores, el gusano intenta copiarse en
\Windows\Start Menu\Programs\Startup de cada unidad de disco.

* Windows NT. En estos sistemas, el gusano intenta copiarse él mismo en
el directorio
\Winnt\Profiles\%Nombre_Usuario_Sistema_Infectado%\Start Menu\Programs\Startup
(aquí también %Nombre_Usuario_Sistema_Infectado% es sustituido por el
nombre del usuario conectado), en cada unidad de disco.

2. A continuación, el gusano modifica el registro del sistema infectado
añadiendo los siguientes valores:

* Modifica la entrada
HKLM\Software\Microsoft\Windows\CurrentVersion\Run añadiendo

LoadDBackUp C:\Windows\BcTool.exe
3Dfx Acc C:\Windows\GFACC.exe

* Crea la entrada HKLM\Sotware\AVTech\Settings con los siguientes
valores:

Installed … by Begbie
Default Address
Default Server

3. A continuación, mediante BcTool.exe se intenta enviar una copia del
archivo C:\Windows\Q216309.exe a todas las direcciones existentes en la
librerta de direcciones de Microsoft Outlook y en todas las direcciones
existentes dentro de los archivos .HTM, .HTML, .ASP y .PHP. Estas
direcciones son anotadas en el archivo 02_N803.DAT.

Instrucciones para la eliminación del gusano

Borrar los archivos creados por el gusano (Q216309.EXE, WTNMSCCD.DLL,
BCTOOL.EXE, GFXACC.EXE, 02_N803.DAT y WINNETW.EXE). También deben
borrarse las entradas del registro modificadas o añadidas por el gusano.

Xavier Caballé
xavi@hispasec.com

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.