Virus W32/Invalid o W32/Support. Una alarma infundada

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 419 - Año 5 - Viernes 31 de agosto de 2001

Nombre: W32/InvalidSSL@MM, W32/Support
Tipo: Gusano de Internet
Fecha: 30/ago/01
Tamaño: 12,288 bytes
Alias: Win32.Invalid@mm, I-Worm.Ivalid, TROJ_INVALID.A, W32.Qint@mm, Win32.Support

Aunque está diseñado para extenderse a través del correo electrónico, la rutina de propagación de este gusano no funciona, por lo que no amerita un grave riesgo, a pesar de la mucha prensa que ha obtenido en las últimas horas (la mayor parte inglesa a la hora de este primer informe).

Sin embargo, utiliza técnicas que es conveniente examinar a los efectos de estar prevenidos. Así mismo, aunque no se propague (y por lo tanto las posibilidades que el gusano llegue a nuestra computadora son mínimas), debemos tomar en cuenta el potencial destructivo del ejecutable adjunto al falso mensaje de advertencia de Microsoft, con el cuál se enmascara el virus, y que además nos pide ejecutar para corregir una supuesta vulnerabilidad existente.

La acción del virus de ejecutarse, es buscar todos los archivos con extensión .EXE en el directorio actual, encriptándolos, de tal modo que quedarán inutilizables, con el consiguiente mal funcionamiento de Windows y sus programas.

El virus está diseñado para ser reenviado simulando ser un mensaje del soporte oficial de Microsoft (Microsoft Support <support@microsoft.com>), con el asunto: Invalid SSL Certificate.

Pero como dijimos, en esta versión el envío falla, debido a la configuración del servidor SMTP especificado en su código, lo cuál invalida la rutina de envío (el "relaying" o reenvío ha sido deshabilitado en dicho servidor).

El texto del mensaje habla de un supuesto parche para solucionar un desbordamiento de búfer en Internet Explorer causado por un certificado SSL (Secure Sockets Layer) mal implementado. Este desbordamiento, según el mensaje, podría habilitar a un atacante, el acceso a la computadora de la víctima. Y ante lo supuestamente peligroso de esta situación, el mensaje pide al usuario abrir el adjunto disponible en el mismo mensaje.

Este es el texto de dicho mensaje:

De: "Microsoft Support" support@microsoft.com
Asunto: Invalid SSL Certificate

Texto:

Hello,

Microsoft Corporation announced that an invalid
SSL certificate that web sites use is required to be
installed on the user computer to use the https
protocol. During the installation, the certificate
causes a buffer overrun in Microsoft Internet
Explorer and by that allows attackers to get
access to your computer. The SSL protocol is
used by many companies that require credit card
or personal information so, there is a high
possibility that you have this certificate installed.
To avoid of being attacked by hackers, please
download and install the attached patch. It is
strongly recommended to install it because almost
all users have this certificate installed without their
knowledge.

Have a nice day,
Microsoft Corporation

Archivo adjunto: sslpatch.exe

Al ejecutar SSLPATCH.EXE (o sea al propio virus) éste intenta extraer las direcciones de correo de las etiquetas MAILTO: de todos los archivos con extensión .HT* dentro de la carpeta "Mis documentos".

También comprueba si existe una conexión a Internet para hacer esta acción.

Luego intenta enviarse a si mismo a todas las direcciones encontradas (falla en esta acción por las razones que ya vimos).

Finalmente, el virus procede a encriptar todos los archivos con extensión .EXE en el directorio actual y carpetas anteriores hasta el raíz de C:, dejándolos inutilizables (al intentar usarlos saldrá un mensaje "xxx.EXE no es una aplicación Win32 válida"). La encriptación se produce con una clave generada a partir del texto "Invalid.Iworm".

La única solución, debido a la acción del virus, sería reinstalar los programas afectados, o incluso el propio Windows.

Recordemos que jamás debemos abrir adjuntos no solicitados, aunque vengan de Microsoft (además, jamás Microsoft envía a sus usuarios los parches para la solución de sus vulnerabilidades, por lo que deberíamos sospechar una actitud así).

Y finalmente, aunque esta versión, debido a las restricciones en su código, no funciona, no podemos olvidar que el autor podría lanzar alguna versión modificada, en la que este problema podría esta solucionado.

Fuente: Central Command, McAfee, Computer Associates
(c) Video Soft - http://www.videosoft.net.uy