SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Notable incremento de la
propagación de un nuevo gusano de e-mail y Kazaa.
Se han publicado nuevos DAT 4263 para su
detección y eliminación (Es importante disponer del motor de exploración 4240)
Nombre de virus: W32/Fizzer@MM
Alias conocidos: Worm/Fizzu.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Como
ejecutable adjunto e-mail y a través de Kazaa
Activación: Por ejecución de fichero infectado
Detección: desde DATS
4263
Motor necesario: desde 4.1.60 (requiere motor 4240 para
eliminación)
Infección actual: Media (Inicial, Media, Elevada)
Se trata de un gusano mass-mail que incluye diferentes componentes así como un temporizador interno para disparar diferentes procesos en instantes diferentes. Estos incluyen:
1. Envío mass-mail a las direcciones recopiladas de lista de Contactos de Outlook, libreta de direcciones de Windows (WAB), direcciones encontradas en el sistema local y a direcciones creadas aleatoriamente.
2. IRC bot (Internet Relay Chat)
3. AIM bot (AOL Instant Messenger)
4. Keylogger (registra las pulsaciones de teclado del usuario infectado)
5. Propagación por Kazaa
6. Servidor HTTP
7. Servidor de acceso remoto
8. Mecanismo de auto-actualización
9. Finaliza procesos de software antivirus.
El gusano contiene su propio motor SMTP, aunque puede utilizar servidores externos para el envío de mensajes de e-mail. El correo electrónico puede presentar diferentes mensajes y la dirección remitente puede ser alterada, de manera que el remitente aparente del mensaje no es el remitente real. Las líneas de cuerpo y asunto del mensaje, así como el nombre del fichero adjunto también pueden variar:
Asunto: why?
Mensaje: The peace
Adjunto: desktop.scr
Asunto: Re: You might not appreciate this...
Mensaje: lautlach
Adjunto: service.scr
Asunto: Re: how are you?
Mensaje: I sent this program (Sparky) from anonymous places on the net
Adjunto: Jesse20.exe
Asunto: Fwd: Mariss995
Mensaje: There is only one good, knowledge, and one evil, ignorance.
Adjunto: Mariss995.exe
Asunto: Re: The way I feel - Remy Shand
Mensaje: Nein
Adjunto: Jordan6.pif
La ejecución del fichero adjunto genera diversos ficheros en el directorio Windows (%Windir%):
initbak.dat - Una copia del gusano
iservc.exe - Una copia del gusano
ProgOp.exe (15,360 bytes) - Manejador de proceso
iservc.dll (7,680 bytes) - Manejador del temporizador e interceptador de teclado de windows
El gusano crea una clave run en el registro para cargarse al inicio del sistema:
· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SystemInit" = C:\WINDOWS\ISERVC.EXE
También modifica el manejo de ficheros con extensión .TXT, para ejecutar el gusano en caso de acceder a un fichero .TXT:
· HKEY_CLASSES_ROOT\txtfile\shell\open\command
"(Default)" = C:\WINDOWS\ProgOp.exe 0 7 'C:\WINDOWS\NOTEPAD.EXE %1'
'C:\WINDOWS\initbak.dat' 'C:\WINDOWS\ISERVC.EXE'
Crea una nueva clave CLASES ROOT con una asociación similar:
· HKEY_CLASSES_ROOT\Applications\ProgOp.exe
En sistemas WinNT/2K/XP el gusano crea un servicio denominado S1TRACE.
Síntomas
- Tráfico inesperado en el puerto 6667 (IRC) o 5190 (AIM).
- Presencia de los ficheros y claves de registro antes mencionados.
ELIMINACIÓN:
Deben utilizarse los DAT arriba indicados (mínimo 4263) para su detección y se requiere motor 4240 para proceder con su eliminación. Como es preciso corregir el registro de sistema, recomendamos iniciar el equipo en modo "A prueba de fallos" o "Modo seguro", ejecutar primero UNDO46.REG y proceder luego con LIMPIA.EXE (Win9x/ME) habiendo arrancado el equipo en modo "Sólo símbolo del sistema" o bien LIMPIANT (Win2K/WinXP) habiendo arrancado en la misma sesión "Modo seguro".
SATINFO, VIRUSCAN SPAIN SERVICE 12 de Mayo de 2003
