Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.Hydra. Envía adjuntos infectados en mensajes normales
 
VSantivirus No. 337 - Año 5 - Domingo 10 de junio de 2001

Nombre: I-Worm.Hydra
Alias: W32/MSServ, Hydra
Fecha: 9/jun/01
Tamaño: 12 Kb aprox.

Este gusano de Internet, se propaga a través del correo electrónico, como un adjunto en formato .EXE (para ver las extensiones completas de los archivos bajo Windows, siga las instrucciones al final de este artículo).

Además de eliminar de memoria a los antivirus residentes, y de borrar las bases de datos del antivirus AVP, posee una sofisticada manera de engañar a quien recibe los mensajes infectados para obligarlo a abrir el adjunto.

Utiliza el Outlook y Outlook Express de Microsoft para propagarse.

El gusano es en si mismo un ejecutable de apenas 12 Kb, escrito en Visual Basic, y comprimido luego con la utilidad de compresión de ejecutables UPX (UPX Win32 EXE files compression utility). Al descomprimirse en memoria, el código del virus ocupa unos 26 Kb.

Si el usuario ejecuta el adjunto (haciendo doble clic sobre él), el gusano se copia a si mismo a la carpeta donde se encuentra Windows (C:\WINDOWS por defecto):

C:\Windows\MSSERV.EXE

También modifica las siguientes entradas del registro para ejecutarse en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msservice = C:\Windows\msserv.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
msservice = C:\Windows\msserv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msservice = C:\Windows\msserv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
msservice = C:\Windows\msserv.exe

Una vez cargado en memoria, el gusano permanece como una aplicación oculta (servicio). Luego se conecta al Outlook, e intercepta los eventos "NewMail" e "ItemSend".

Cuando un evento "NewMail" es interceptado, significa que ha llegado un nuevo mensaje. Entonces el gusano examina si es uno de sus propios mensajes enviado desde otra computadora infectada, y lo borra en caso de serlo. Para ello, abre el mensaje, y si el mismo contiene un adjunto en formato .EXE y ese adjunto posee su mismo tamaño, entonces borra el mensaje.

Cada vez que enviamos un mensaje, el gusano intercepta el segundo evento ("ItemSend"). Si descubre archivos adjuntos, los reemplaza por su propio código, mantiene el nombre del adjunto original, pero cambia la extensión a .EXE. Por ejemplo, si el usuario infectado envía un archivo adjunto llamado NOTAS.TXT, el virus quita el adjunto, lo suplanta por su propio código, y lo envía como NOTAS.EXE.

Si el usuario no envía ningún adjunto, el virus se agrega igual al mensaje, pero con un nombre seleccionado al azar y la extensión .EXE.

Si la fecha es un viernes 13, y se envía algún mensaje entre las 13.00 y las 14.00 horas, el virus también agrega este texto al comienzo del cuerpo del mensaje:

[I-Worm.Hydra] ...by gl_st0rm of [mions]

La técnica usada por el virus es realmente sofisticada. Pero además, existe un gran riesgo en la forma que usa para enviarse por correo. Note que usted crea un mensaje, dirigido a una persona con la que ya coordinó el envío de algún adjunto. El virus quitará el verdadero adjunto y lo suplantará por su propio código, aumentando enormemente las probabilidades que el receptor de su mensaje lo abra (ya que usted mismo se lo indicaba en el mensaje, por ejemplo).

Lo mismo ocurre aunque usted no haya mandado adjuntos con el mensaje, porque el gusano igual se agregará él como adjunto. Y cómo el mensaje es real, la persona que lo reciba es muy probable lo abra, aunque usted no lo mencione en el texto.

Pero además de esta forma de propagarse, el virus realiza algunas acciones que dificultan su descubrimiento y posterior eliminación.

Primero, el virus borra el archivo MSCONFIG.EXE del directorio C:\Windows\System. Esta herramienta (no existe en Windows 95), permite controlar y borrar los programas que se ejecutan en el inicio de Windows, incluido cualquier virus u troyano.

El gusano también examina las aplicaciones activas y las termina (finaliza las tareas en ejecución). Estos procesos incluyen antivirus y otros programas similares:

AVP Monitor
AntiVir
Vshwin
F-STOPW
F-Secure
vettray
InoculateIT
Norman Virus Control
navpw32
Norton AntiVirus
Iomon98
AVG
NOD32
Dr.Web
Amon
Trend PC-cillin
File Monitor
Registry Monitor
Registry Editor
Task Manager

Esto ocasiona que se desactiven la mayoría de los antivirus residentes. También causa que el editor del registro (REGEDIT) sea cerrado apenas se intenta ejecutarlo (por ejemplo, desde Inicio, Ejecutar).

Por otro lado, el virus también borra las bases de datos del antivirus AVP (Kaspersky Anti-Virus).

El gusano instala además el software usado para examinar la existencia de inteligencia extraterrestre (SETI, Search for Extraterrestrial Intelligence) (puede obtener más información de este software en la página oficial de SETI, http://setiathome.berkeley.edu).

La copia descargada por el gusano en la carpeta de Windows, con el nombre de MSSETI.EXE, es bajada de los siguientes sitios FTP:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

Otros archivos creados por el gusano:

C:\Windows\USER_INFO.SAH
C:\Windows\VERSION.SAH

Ambos contienen datos específicos del proyecto SETI. En el primero (USER_INFO.SAH), se puede encontrar la siguiente información:

id=2199938
key=1603033966
email_addr=gl_storm@seznam.cz
name=GL_STORM
country=Czech Republic

También copia estos archivos, los cuáles se usan para ejecutar el programa del SETI:

C:\Windows\MSSETI.PIF
C:\Windows\RUN_MSSETI.VBS
C:\Windows\MSSETI.BAT

También crea estas otras claves en el registro, para lanzar las aplicaciones mostradas anteriormente, al iniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msseti = WScript.exe C:\Windows\run_msseti.vbs"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
msseti = WScript.exe C:\Windows\run_msseti.vbs"

Debido a sus características, la correcta eliminación del virus en un sistema infectado encierra varias dificultades, la más importante es la imposibilidad de ejecutar REGEDIT o MSCONFIG, para evitar que el virus se ejecute en el arranque de Windows.

Para ello, inicie en MODO A PRUEBA DE FALLOS (mantenga pulsada la tecla CTRL o CONTROL en el arranque de su PC, o pulse alternativamente F8 hasta que aparezca el menú de inicio), y seleccione dicha opción.

Ejecute REGEDIT desde Inicio, Ejecutar, y borre de la ventana de la derecha toda referencia a "msservice" y " msseti" de las siguientes claves del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

También use Inicio, Buscar, Archivos y carpetas, y borre los siguientes archivos:

C:\Windows\MSSERV.EXE
C:\Windows\USER_INFO.SAH
C:\Windows\VERSION.SAH
C:\Windows\MSSETI.PIF
C:\Windows\RUN_MSSETI.VBS
C:\Windows\MSSETI.BAT

Si utiliza AVP como antivirus, tal vez deba descargar e instalar la base de datos completa, ya que la misma puede ser borrada por el virus.

Para recuperar la utilidad MSCONFIG, puede utilizar SFC en Windows 98.

Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

Luego, seleccione "Extraer un archivo del disco de instalación"

Teclee C:\WINDOWS\SYSTEM\MSCONFIG.EXE en la ventana "Especifique el archivo de sistema que desea restaurar" y pinche en Iniciar.

En la ventana "Restaurar de" teclee el camino a donde posee los archivos CABs de instalación de Windows 98 (C:\WINDOWS\OPTIONS\CABS o C:\WIN98, o si los tiene en CD, D:\WIN98, o la letra que corresponda).

Pinche en ACEPTAR y siga las instrucciones.

Ejecute uno o más antivirus al día para examinar su sistema.


Información complementaria


Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.


Fuente: Kaspersky Antivirus
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS