W32/Cissi.worm


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano que se propaga por correo electrónico y comparticiones de red. También instala un backdoor utilizando la red IRC.

Nombre de virus: W32/Cissi.worm
Alias conocidos: I-Worm.Cissi
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y comparticiones de red
Activación: Por ejecución de fichero adjunto (.pif, .exe)
Detección: desde DATS 4312
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

w32/Cissi.worm es un gusano de Internet que propaga por email y por comparticiones de red. También puede actuar como un backdoor utilizando la red de IRC.

Cuando se ejecuta, el gusano se copia como:

· %WinSys%\CISSI.exe

donde %WinSys% es el directorio de sistema de Windows.

Modifica la siguiente clave de registro para ejecutarse al inicio de Windows:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe %WinSys%\CISSI.exe"

El gusano busca direcciones de correo electrónico analizando el contenido de ficheros con las siguientes extensiones:

· .htt

· .rtf

· .doc

· .xls

· .ini

· .mdb

· .txt

· .htm

· .html

· .wab

· .pst

· .fdb

· .cfg

· .ldb

· .eml

· .abc

· .ldif

· .nab

· .adp

· .mdw

· .mda

· .mde

· .ade

· .sln

· .dsw

· .dsp

· .vap

· .php

· .asp

· .shtml

Escribe las direcciones de email que recopila al siguiente fichero:

· %WinSys%\CISSI.dll

Utiliza su propio motor SMTP para enviar emails. Los mensajes tienen las siguientes características:

Asunto : (uno de los siguientes)

· Heres a poem for you

· Ive written a poem for you

· Love poems for you :)

· Look what i wrote for you

· Poems for you

· Roses are red,

· You are mine,

· I love you until im dead,

· It will all be fine.

· I do miss you

· I do love you

· what you want me to do?

· I never want to go.

· Where did you run?

· Where did you hide?

· I stand here undone

· I stand here inside

· How could u do that

· Why did you say that

· How do you feel inside

· I wish i just could hide

Adjunto: (uno de los siguientes)

· LovePoem.pif

· Poem_collection.pif

· Zipped_poems.exe

· My Poems.txt.exe

· Poems.pif

· Sad Stories and Poems.pif

· My Story.pif

· The Poems.pif

· Poems for you.pif

· Only Poems.txt.pif

Mensaje: (ninguno)

El gusano hace uso de funciones de NetBIOS para conectar a direcciones IP generadas aleatoriamente. Utiliza un nombre de usuario predefinido y una lista de contraseñas para intentar obtener acceso. Genera muchas conexiones NetBIOS salientes (puerto 139).

También conecta al servidor IRC irc.undernet.org en el puerto 6667. Utiliza un nombre de usuario generado aleatoriamente para conectarse a un canal predefinido. Una vez conectado, puede escuchar comandos IRC y realizar diversas actividades backdoor, tales como descargar y ejecutar ficheros.

Detección y eliminación
El gusano se controla desde los DAT 4312 , para su eliminación se recomienda ejecutar nuestra utilidad ELICISSA .

SATINFO, VIRUSCAN SPAIN SERVICE 09 de Enero de 2004