Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

mIRC/Gif. Lo que parece un verdadero GIF es un troyano
 
VSantivirus No. 642 - Año 6 - Miércoles 10 de abril de 2002

mIRC/Gif. Lo que parece un verdadero GIF es un troyano
http://www.vsantivirus.com/mirc-gif.htm

Nombre: mIRC/Gif
Tipo: Caballo de Troya
Fecha: 10/abr/02
Tamaño: 18,801 bytes
Fuente: Panda 

Tal vez sea la primera vez que se utiliza lo que verdaderamente parece ser un archivo de imágenes (.GIF en este caso), para lanzar un código ejecutable. No se utilizan trucos de doble extensión (una segunda extensión tipo "nombre.gif.EXE" por ejemplo), sino que el archivo tiene casi todas las características que lo llevan a disfrazarse de .GIF, y una verdadera extensión .GIF.

En concreto se trata de un caballo de Troya con capacidad de propagarse en los canales de chat (IRC), utilizando el popular cliente mIRC.

Su característica fundamental, es la habilidad de camuflarse como archivo GIF (un popular formato de archivos de imágenes), mediante la manipulación del script de IRC que lo contiene, el cuál posee la extensión .GIF y el habitual cabezal (la primera parte del código) de todo archivo GIF:

GIF89a (sigue el resto del código)

No posee la capacidad de ejecutarse en forma automática como otros scripts maliciosos de IRC, sino que quien lo envía, debe obligar al receptor a ejecutar la siguiente instrucción:

/load -rs c:\mirc\dcc\imagenes\nombre.gif

En el ejemplo NOMBRE.GIF es el troyano, y puede tener cualquier nombre, y un tamaño de unos 18 Kb.

Nótese que se requiere ingeniería social para obligar a la víctima a que ejecute ese comando.

Pero si el receptor ejecuta la orden mencionada, entonces el troyano muestra una pantalla de error del mIRC, mientras crea una copia de si mismo en el directorio Windows, con el nombre de HIMEM32.SYS (cuidado, en dicho directorio existe un archivo legítimo de Windows llamado HIMEM.SYS):

C:\Windows\HIMEM32.SYS

El troyano también modifica a MIRC.INI, el archivo de configuración del mIRC, para hacer que el troyano se ejecute cada vez que se inicie el programa de chat. Para ello crea la siguiente entrada dentro de la sección [rfiles]:

N2=c:\windows\himem32.sys

Una vez activo, el troyano habilita el puerto 64000, por el que se puede recoger y enviar información de su víctima a través de un canal de IRC.

Si no ejecuta la instrucción que acompaña al .GIF, el troyano no se activará y su equipo no será infectado. Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Tampoco acepte archivos SCRIPT. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

VSantivirus No. 395 - 7/ago/01
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm

Para eliminar el troyano en forma manual

Borre el falso GIF recibido (o todos los GIF recibidos en su mIRC en las últimas semanas.

Borre el archivo C:\Windows\HIMEM32.SYS (no lo confunda con HIMEM.SYS, que es un archivo de Windows).

Edite el archivo MIRC.INI (utilice la opción Inicio, Buscar, Archivos o carpeta para buscarlo).

Haga doble clic sobre el archivo encontrado (MIRC.INI) y se cargará en el bloc de notas, donde usted deberá localizar la entrada [rfiles], y borrar la siguiente línea si existe:

N2=c:\windows\himem32.sys

Grabe los cambios al salir, y ejecute uno o dos antivirus actualizados para examinar su sistema.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS