• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Gusano simula ser una actualización de Microsoft

Gusano simula ser una actualización de Microsoft

19 septiembre, 2003 Por Hispasec Deja un comentario

Swen o Gibe, nombres con el que ha sido bautizado por las casas
antivirus, ha irrumpido con fuerza en las últimas horas. Hispasec
lo sitúa en estos momentos como el gusano con mayores índices de
propagación. Entre otras vías de infección, destaca los mensajes
que envía simulando proceder de un servicio de Microsoft, donde
informa al usuario de que debe instalar el ejecutable que adjunta
(el gusano) para proteger su sistema contra las últimas amenazas de
seguridad.

Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de
105KB, y afecta a los sistemas Windows. Usuarios, profesionales, y
entornos que utilicen otros sistemas operativos, como Linux o Mac
OS, están fuera de peligro.

Lo primero que destaca de Swen es el cuidado formato del mensaje donde
simula un envío de Microsoft, que sin duda está logrando engañar
a muchos usuarios. Desde las direcciones de remite, con nombres como
MS Technical Assistance o Microsoft Internet Security Section, hasta
el cuerpo del mensaje en formato HTML con el mismo aspecto que la
página web de Microsoft, incluido logotipos. El texto también aparece
muy cuidado y bien formateado, con referencias a las versiones de
Internet Explorer y Outlook Express que supuestamente el parche
corrige, así como enlaces a direcciones reales de la web de Microsoft.

Es sin duda este aspecto del gusano lo que está logrando engañar a
muchos usuarios, que terminan instalando el ejecutable que adjunta
al mensaje creyendo que se trata de un parche oficial de Microsoft,
provocando en realidad la infección de sus sistemas.

Desde Hispasec recordamos de nuevo, como norma básica y general, que
no se deben ejecutar los archivos adjuntos y, en el caso concreto de
Microsoft, que nunca distribuye actualizaciones o parches por e-mail.

Otras técnicas y vías de propagación

Swen también intenta explotar una vieja y conocida vulnerabilidad de
Internet Explorer para lograr ejecutarse de forma automática sin
necesidad de que el usuario abra el archivo de forma manual. Esta
vulnerabilidad (iframe/mime), que data de marzo del 2001, es la misma
que aprovechan gusanos como Klez, y se estima que la mayoría de los
usuarios no son vulnerables a la misma. De forma que el «éxito»
alcanzado por Swen debe achacarse más a los engaños que está
provocando su forma de presentarse que a motivos puramente técnicos o
de vulnerabilidades concretas.

Otras vías de propagación utilizadas por Swen son el IRC, las redes
P2P, los grupos de noticias, y los recursos compartidos.

En el caso del IRC, el gusano modifica el archivo script.ini en los
sistemas que cuenten con el popular cliente mIRC. Esta modificación
provocará que el usuario infectado envíe automáticamente una copia
del gusano a otros usuarios que se encuentren en el mismo canal de
IRC a través de DCC.

En cuanto a las redes P2P, Swen intenta localizar en los sistemas la
carpeta de archivos compartidos del programa KaZaa (cliente P2P),
y realiza varias copias del gusano con distintos nombres simulando
ser utilidades, programas de hacking, salvapantallas, etc. Estos
archivos, además de los que crea en la carpeta temporal de Windows,
pasarán a estar compartidos en la red P2P, y cualquier usuario de
la misma puede descargar el gusano creyendo que se trata de un
programa legítimo.

La propagación a través de las redes locales la realiza copiándose en
las carpeta de inicio de todas las unidades de red mapeadas. El código
del gusano también incluye un listado de servidores de news a los que
se envía.

Por último, tampoco debemos olvidar que además de los mensajes
en los que simula ser una actualización de Microsoft, Swen también
se presenta de otras formas por e-mail. Por ejemplo, finge ser un
mensaje rechazado por el servidor de correo, tipo:
Remite: Email Delivery Service
Asunto: Returned Response
Cuerpo: Undeliverable mail to [dirección de correo]

Instalación en el sistema

Una vez que se ejecuta el gusano, Swen sigue con sus técnicas de
engaño, o Ingenieria Social, y simula la aplicación del parche.
Despliega una ventana bajo el título Microsoft Internet Update
Pack, pregunta al usuario si desea continuar con la instalación,
y a continuación muestra una barra de progresión y aparenta
la actualización de diferentes componentes del sistema.

Debajo de toda estas ventanas, de apariencia legítima, el gusano
va ejecutando su código malicioso. En primer lugar se copia en
la carpeta de Windows con un nombre al azar, y añade una entrada
en el registro de Windows para ejecutarse cada vez que se inicie
el sistema (en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run).

Modifica también diversas entradas en el registro de Windows
para provocar que el gusano se ejecute en primer lugar cada vez
que el usuario intenta ejecutar un archivo con extensión .EXE,
.REG, .SCR, .COM, .BAT o .PIF.

Además previene el uso de REGEDIT, en lo que parece un intento de
dificultar que el usuario pueda editar el registro para limpiar las
modificaciones realizadas por el gusano. Esto lo consigue con la
siguiente entrada:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System «DisableRegistryTools» = 01 00 00 00

Para propagarse por e-mail a otros usuarios, el gusano busca
direcciones de correo a las que enviarse en los archivos con
extensión HT*, .ASP, .EML, .WAB, .DBX y .MBX.

De forma periódica presenta al usuario una ventana que simula ser
un error de MAPI32, donde informa al usuario que algunos datos
han sido dañados y necesita restaurarlos para poder reconfigurar
su cuenta de correo para recibir y enviar mensajes. De nuevo el
gusano hace gala de una interfaz muy cuidada, donde solicita entre
otros datos la dirección de correo del usuario, nombre de usuario,
contraseña y servidores smtp y pop3.

Swen también intenta desactivar todas las protecciones con las que
cuente el sistema. Para ello contiene en su código un amplio listado
de nombres de procesos que finalizará si encuentra en memoria, la
mayoría correspondiente a antivirus, firewalls y otras utilidades
de seguridad.

El creador de este gusano también ha querido llevar una estadística
del número de sistemas que consigue infectar. Para ello Swen, la
primera vez que se ejecuta en un sistema, envía una petición HTTP
a un servidor web donde mantiene un contador de visitas.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Win32.Swen.A@mm (Sven)
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=158

Win32.Swen.A
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=50601

W32/Swen.A@mm
http://www.f-prot.com/virusinfo/descriptions/swena.html

Swen
http://www.f-secure.com/v-descs/swen.shtml

Win32/Swen.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=560&alerta=1

Swen.A
http://www.norman.com/virus_info/w32_swen_a_mm.shtml

I-Worm.Win32.Swen.106496
http://www.globalhauri.com/html/support/virus_read.html?code=IWW3000440

I-Worm.Swen
http://www.viruslist.com/eng/viruslist.html?id=88029

Gibe.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=40
743

W32/Swen@MM
http://vil.nai.com/vil/content/v_100662.htm

W32/Gibe-F
http://www.sophos.com/virusinfo/analyses/w32gibef.html

W32.Swen.A@mm
http://www.sarc.com/avcenter/venc/data/w32.swen.a@mm.html

WORM_SWEN.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A

W32/Swen.A
http://www.vsantivirus.com/swen-a.htm

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR