De: imissyou@btmail.net.cn
Asunto: [nombre_del_usuario] is comming!
Texto: [vacío, pero contiene código HTML]
Datos adjuntos: PP.EXE

El campo 'De:' también puede ser:

[nombre_del_usuario]@yahoo.com
[nombre_del_usuario]@hotmail.com, etc.

En todos los casos [nombre_del_usuario] varía de acuerdo al usuario infectado, y el nombre del servidor puede ser el del usuario.

Cuando se ejecuta, infecta archivos con las siguientes extensiones:

EXE
SCR
HTM
HTML

Su rutina destructiva se activa el primer día de cada mes, sobrescribiendo los primeros 1,234 bytes de todos los archivos que se ajusten a esta búsqueda:

*.ADC
*R.DB
*.DOC
*.XLS

Posee la capacidad de autoejecutarse por solo leer el mensaje o al verlo en el panel de la vista previa. Para ello se aprovecha de la vulnerabilidad llamada "Incorrect MIME Header vulnerability (MS01-020)", que afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express, si el sistema no tiene el parche correspondiente, haciéndose pasar por un archivo de audio (codificado como "audio/x-wav", en formato MIME).

Una vez en memoria, el gusano se ejecuta a si mismo en un proceso diferente (thread). La creación de otro proceso consume recursos de memoria, lo que puede causar cuelgues del sistema infectado.

El gusano crea el archivo RUNOUCE.EXE en el directorio System de Windows (no confundir con RUNONCE). Genera un nuevo thread de si mismo y se registra como un proceso del sistema.

Este thread crea la entrada en el registro que habilita la autoejecución del virus en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Runouce = C:\Windows\System\RUNOUCE.EXE

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

RUNOUCE.EXE es creado con los atributos de oculto, sistema y sólo lectura (+H +S +R). Esto impide su visualización con el explorador de Windows, mientras no se configure para ver todos los archivos (ver al final de este artículo).

Luego de ello, el virus examina si la unidad en que se ejecuta es fija, removible, de red o RAMdisk, y en cualquiera de esos casos busca allí otros archivos con extensiones .EXE, .SCR, .HTM y .HTML para infectar.

Para impedir la reinfección de estos archivos, el gusano examina los dos primeros bytes del código de estos. Si equivale al valor '0xE860', no lo vuelve a infectar. Este valor corresponde al propio código del virus. Si no coincide, el virus agrega su propio código al final del archivo a infectar.

Esta rutina de infección tiene muchas similitudes con la usada por el gusano Nimda. La misma agrega en los archivos .HTM y .HTML un script que abrirá el archivo README.EML, previamente creado en todos los directorios y subdirectorios. README.EML es un mensaje con el propio gusano en formato UUencode. Esta modificación funciona solamente si esta permitido JavaScript en la configuración de la máquina infectada. 

En los archivos .EXE y .SCR, el virus se agrega a sí mismo a la última sección de estos, cambiando el punto de entrada por el del código del virus. Como resultado, cuando se ejecuta cualquier archivo infectado el virus intenta cargar una copia de sí mismo y comenzar con la rutina de envío. Sin embargo, solo una copia del virus permanece en memoria, y para ello el gusano crea el mutex 'ChineseHacker-2'.

Si la fecha corresponde al primer día de cualquier mes, el gusano sobrescribe los primeros 1,234 bytes de los archivos que se correspondan a los siguientes parámetros de búsqueda: *.ADC, *R.DB, *.DOC y *.XLS.

Su rutina de propagación, envía un mensaje similar al descripto al principio, a todos los contactos de la libreta de direcciones de Windows (.WAB). Utiliza sus propias rutinas SMTP, y un servidor determinado, de modo que si dicho servidor no se encontrara disponible, el gusano no podría propagarse.


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Runouce

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Ejecute un antivirus para examinar todas sus unidades de discos y archivos, y borre aquellos que aparezcan como infectados (la mayoría de las veces, deberá restaurar los archivos infectados de un respaldo limpio, o reinstalando los programas correspondientes).

10. Actualice su Internet Explorer con los parches actualizados, para evitar la ejecución del mensaje infectado por solo leerlo.

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Cómo ver las extensiones de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm


Glosario

UUENCODE - Este es otro protocolo de especificación de codificación de contenidos en mensajes SMTP. Antes de que apareciese MIME, la técnica de UUencode permitía incluir contenidos no textuales en los mensajes mediante la codificación en origen de los citados contenidos binarios transformándolos en caracteres ASCII de 6 bits que se adjuntaban al mensaje. Los contenidos eran interpretados por el emisor y el receptor SMTP como si de texto se tratase y decodificados en destino para recuperar los archivos binarios. Aunque, como es obvio, esta técnica está claramente superada por MIME, aún son abundantes los entornos de correo en los que se utiliza.

MUTEX - Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Un caso concreto: si un mutex determinado (puede haber uno diferente para cada programa) está en memoria, el programa al que le corresponda ese mutex, asume que existe una sesión anterior de él mismo ejecutándose actualmente, negándose por lo tanto a hacerlo por segunda vez. Esto previene la múltiple carga del programa en memoria.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com