Nuevo gusano (worm) W95/Firkin.worm

Nombre de virus : W95/Firkin.worm

Alias conocidos : 911 Share Virus, Bat/911, Bat/Chode.worm

Peligrosidad :Baja  (Baja, Alta, Muy Alta)

Activación : desde el grupo Inicio de Windows

Propagación :  Por comparticiones de red abiertas

Detección : VIRUSCAN  Desde 4071

Motor necesario : Engine 4.0.35 o superior

Infección actual :  Inicial    (Inicial, Media, Elevada)
 

Se trata de un nuevo gusano ("worm") de reciente aparición, escrito en lenguaje batch del DOS (se compone de un conjunto de ficheros .bat y .pif), que se replica a través de Internet, infectando ordenadores Windows que tienen el disco duro compartido al mundo.

Muchos usuarios pueden accidentalmente o por desconocimiento compartir por completo su disco duro, y cuando conectan a Internet, cualquiera podría acceder a su unidad de disco. El worm utiliza esta vulnerabilidad para su propagación, y por tanto un usuario no necesita ejecutar un fichero VBScript, o leer un mensaje de correo-e para infectarse; se propaga a través de comparticiones de red abiertas.

El gusano inicia la infección copiando los ficheros ASHIELD.PIF y MSTUM.PIF a la ruta windows\startm~1\programs\startup, de modo que sean llamados en el siguiente reinicio del equipo.

Otros ficheros que participan con la propagación del gusano son:
HIDE.BAT (utiliza la herramienta ashield.exe para ocultar la ventana que procesa el gusano), MSTUM.PIF (ejecuta MSTUM.BAT, que es el propio proceso del gusano y que se ejecuta en segundo plano), final.bat, A.BAT, B.BAT, C.BAT, D.BAT, E.BAT, F.BAT, G.BAT, H.BAT, I.BAT, y J.BAT ), ADD.BAT (contiene las rutinas para escalar a través de direcciones IP en la subred. También intenta ejecutar el fichero CHAOS.BAT)

Cuando el gusano explora la red, utiliza la utilidad ping y el NetBios de Windows para buscar comparticiones abiertas denominadas "C". Estas son unidades que los usuarios comparten para su red local, pero que inadvertidamente comparten a través de todo Internet. Entonces intenta mapear la unidad remota como "J:"

Entre otras acciones, dependiendo de un número aleatorio, añadirá el fichero SLAM.BAT al autoexec.bat del ordenador remoto. La siguiente vez que se inicie la máquina remota, el autoexec.bat modificado intentará aleatoriamente llamar al 911 desde los ordenadores que tengan módem, o intentará formatear todos los discos duros, desde h: hasta c:, y visualizará el mensaje "You have been sLamMeD By fOREsKIN mOThERfUCKER"

A continuación copiará los ficheros ashield.pif y mstum.pif al directorio j:\windows\startm~1\programs\startup\ashield.pif

donde J: es la unidad remota C: que el virus mapeó anteriormente. Esto significa que el gusano obtiene el control la siguiente vez que la víctima inicia su ordenador, ya que J: en realidad es la unidad C:.

Entonces escribirá el texto:

[Remote IP address] was sucessfully infected with foreskin

al archivo c:\PROGRA~1\foreskin\cool.txt, el cual se utiliza como registro de infección.

El FINAL.BAT contiene los comentarios:

REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c final
CHAoS (C) 2000 EMD LABS INC
REM rAndOm dEvIStAtOr
REM nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh
fIlE pROgRAMmINg
REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn
pOtEnTiAllY sPReAD otHeR vIRuSeS oThER tHAn
iTsElF...cOoL!!!
REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT
wROtE tHe nETwORk.vBs sHIt
REM iT wAs jUsT iN mY wAy
 
 

El superdat SDAT4071.EXE está disponible en nuestra web desde 30/3/2000.
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior