Nombre de virus: W32/KORVAR@MM
Alias conocidos: I-worm.Winevar, W32.HLLM.SEOUL
Riesgo Infección: ALTO (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero adjunto infectado o lectura del e-mail sin parches
Propagación: Por envío masivo de e-mails infectados a direcciones de archivos *.HTM y *.DBX
Detección: desde DATS 4235 ó SDATDAILY de 26/11/2002 ó posterior
Motor necesario: desde 4.1.60
Infección actual: Media(Inicial, Media, Elevada)

Virus de ALTA PELIGROSIDAD original de Korea, que ya ha llegado a España

Llega en un e-mail con técnicas MIME de forma que su simple lectura con el Outlook Express, ejecuta el fichero infectado, si no se tiene el antivirus que lo controle y el Internet Explorer actualizado con los parches de Microsoft. También entra si se abre manualmente el fichero anexado que aparenta ser WINXXXX.TXT, si bien es realmente un HTM, que lo abre el navegador y con ello crea una clave en el registro de sistema que asocia las extensiones .CEO a exefiles, por lo que el segundo fichero anexado (con extensión .CEO), es ejecutado como EXE, lanzando el proceso vírico global.

Al ejecutarse busca si hay determinadas tareas residentes, tales como antivirus y cortafuegos por software, e incluso tareas normales como el TASKMON, o que contengan las siglas MS y otras, finalizando el proceso de las mismas e iniciando su payload destructivo si las encuentra en uso.

Tras ello muestra el siguiente mensaje:

Make a fool of oneself

What a foolish thing you have done! (Que tontería está haciendo!)

y procede a borrar todos los ficheros que no están en uso, lo que ocasiona la caida de Windows y la imposibilidad de reiniciar normalmente el equipo.

Si no encuentra ningún proceso de los que busca en memoria, el virus no borra ficheros ni muestra el mensaje indicado, sino que sigue el proceso copiandose en el directorio de sistema como WIN~1.EXE, o WIN~1.PIF, siendo las letras que siguen al WIN, carácteres aleatorios.

Seguidamente crea 4 claves de registro cargando dicho fichero desde RUN o RunServices y modifica dos claves de registro de Windows, aplicando en ellas los dos nombres Trand Microsoft Inc, y Antivirus.

Luego permanece residente en memoria vigilando la actividad de los residentes, por si se reiniciara cualquiera de los controlados por el virus y lanzar un borrado de todos los ficheros que no estén en uso.

A continuación inicia la propagación por e-mail, buscando dominios en las cookies de las visitas a las web, colocando previamente el nombre webmaster@, así como extraer nombres de los ficheros .HTM y .DBX, enviando e-mails a estas direcciones desde el servidor SMTP del usuario infectado, con el siguiente formato:

DE: AAVAR (Association of Anti-Virus Asia Researches) - Report

DATOS ADJUNTOS:

WINXXXX.TXT (12.6KB) MUSIC_1.HTM

WINXXXX.GIF (120 BYTES) MUSIC_2.CEO

(Las XXXX son letras aleatorias y los nombres de los dos ficheros son la línea entera, siendo sus extensiones reales la última, o sea HTM y CEO )

Al abrir el aparente WINXXXX.TXT lo que se está abriendo realmente es el HTM, que contiene código Java Script que modifica el registro de sistema añadiendo una clave para que los ficheros con extensión .CEO sean abiertos como ejecutables, con lo que consigue procesar el segundo fichero aparentemente GIF como ejecutable, activando su proceso de infección o borrado de datos antes indicado.

Así mismo crea en el directorio de sistema el fichero AAVAR.PIF que es portador de una versión modificada del fatídico FUNLOVE, al estilo de lo que hace el reciente virus BRAID con el fichero BRADE.EXE.

Como nota curiosa, al final del fichero .CEO genera un informe del los equipos que ha ido infectando

Si el virus no encuentra direcciones de envio o no está el equipo conectado a Internet, de forma que el virus no pueda propagarse, dá por finalizada esta etapa y procede con la visualización de muchas ventanas con el mensaje:

What a foolish thing you have done! (Que tontería está haciendo!)

para distraer la atención y hacer que el usuario pierda el tiempo cerrando ventanas, mientras que el virus va procediendo con el borrado de ficheros.

EVIDENTEMENTE, SI SE ESTÁ AL CASO, DEBE APAGARSE INMEDIATAMENTE EL ORDENADOR PARA EVITAR EL BORRADO DE MÁS FICHEROS, Y ARRANCAR EN SÓLO SIMBOLO DE SISTEMA O DISQUETE DE INICIO EN WINDOWS 9X /Me, EN EL CASO DE NTFS (NT/2000/XP) COLOCAR EL DISCO DURO AFECTADO COMO SECUNDARIO DE OTRA MAQUINA COMPATIBLE CON NTFS, Y PROCEDER A ELIMINAR EL VIRUS CONSERVANDO EL MÁXIMO DE FICHEROS. Evidentemente los ficheros que el virus haya borrado deberán restaurarse del original o copia de seguridad, o, si es FAT32, con reparos, como indicamos a continuación:

Excepcionalmente para algún fichero borrado que no haya copia de seguridad puede intentarse recuperar manualmente, si el ordenador es FAT32, con nuestra utilidad UNDELF32.EXE. No es de uso público, sino para uso excepcional, por lo que no está en la web. Pueden solicitarla al HOTLINE 934585385, o por e-mail a sat@satinfo.es, si bien recuerden que sólo se pueden recuperar los ficheros borrados cuyo espacio físico en disco duro no haya sido ocupado por otros datos posteriores al borrado, y en cualquier caso uno a uno y laboriosamente.

Es muy importante antes de reiniciar el ordenador, el eliminar los ficheros víricos existentes todavía en el ordenador, pues de lo contrario se ejecutaría otra vez el virus al existir su carga desde el registro de sistema, y no haberse borrado el propio virus por estar en uso en el momento de la activación. Ello puede hacerse cómodamente con nuestra utilidad DELKORVA.EXE, para MSDOS, la cual buscará dichos ficheros y los renombrará cambiando la primera letra de la extensión por una V (p.e. si tiene extensión PIF pasará a ser VIF), para evitar que se ejecuten al reiniciar Windows. Si se tiene el antivirus de MSDOS actualizado (min 4235) en un CDROM grabado a tal efecto, o en la máquina donde haya colocado el disco duro como secundario, podrá eliminar los restos del virus todavía existente, lanzando un SCANPM /CLEAN x: , siendo x: la unidad del disco duro a procesar.

Para la restauración de las claves de registro de sistema hemos creado la utilidad ELIKORVA.EXE, que debe ejecutarse desde Windows, después de haber eliminado los ficheros víricos existentes, conforme lo arriba indicado.

MUY IMPORTANTE:

A pesar de todas las explicaciones, lo mas importante en este caso es PREVENIR actualizando el antivirus con los DATS actuales (mínimo 4235 para este virus) o SDATDAILY de hoy, comprobando motor 4.1.60 y el Internet Explorer con los últimos parches de Microsoft instalados, pues de lo contrario el virus se ejecutará si se lee el mail infectado, y una vez ejecutado lo mas probable es que se pierdan los datos y se tenga que partir de cero, instalando todo el software de nuevo o a partir de la copia de seguridad, lo cual siempre es una gran pérdida, tanto de tiempo como, en el peor de los casos, de datos.

Para mas información (en inglés) pulsar aquí.

Para descargar la utilidad ELIKORVA.EXE, pulsar aquí

Para descargar la utilidad DELKORVA.EXE, pulsar aquí

SATINFO, VIRUSCAN SPAIN SERVICE 27 DE NOVIEMBRE 2002

Anterior