Asunto: Happy New Year

Texto:
Hii
I can't describe my feelings
But all i can say is
Happy New Year :)
bye

Adjunto: Christmas.exe (37,376 bytes)

El archivo adjunto CHRISTMAS.EXE simula ser una aplicación Macromedia flash con un icono similar al que se utiliza en estas aplicaciones.

Escrito en Visual Basic, el gusano requiere la presencia de las librerías runtime para funcionar. En Windows Me y XP las mismas se cargan por defecto.

Es capaz de copiarse a unidades compartidas en red.

Las acciones que el gusano realiza, una vez que el usuario abre el adjunto CHRISTMAS.EXE, son las siguientes:

1. Se envía a si mismo a todos los contactos de la libreta de direcciones del Outlook. El mensaje enviado es similar al visto al principio.

2. Cambia el nombre de la computadora infectada por el de Zacker, a través del registro:

HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName = Zacker

3. Agrega los siguientes valores al registro para ejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Zacker = C:\Windows\Christmas.exe

4. Modifica la página de inicio del Internet Explorer por una creada por el autor del virus, la cual está infectada por un gusano de Java Script (VBS/Dismissed.A). La página ya no existe:

HKCU\Software\Microsoft\Internet Explorer\Main
Start page = http://geocities.com/jobreee/ZaCker.htm

5. Muestra al usuario una ventana con el texto: "From the heart. Happy new year !" y una imagen de Papá Noel y un ciervo.

6. Finalmente, deshabilita el teclado, de modo que no puede usarse más, hasta que la computadora es reiniciada (crea un proceso llamado "sm56hlpr", visible si en este punto se pudiera usar CTRL+ALT+SUPR).

La página Web que abre el Internet Explorer por defecto, luego de la infección con el gusano Reeezak.A, contiene código maligno, que se activa al visitarla.

Esta página mostraba el siguiente contenido:

Sharoon = a war crimenal
Bush supports him
So...
Bush = a war crimenal
American people must protect their country
otherwise, their
government will lead them to the hell !

Best Regards
America Lovers
ZA-UNION

El archivo que se copia y luego ejecuta, en la máquina infectada, es el siguiente:

C:\Windows\Rol.vbs

Rol.vbs es un script en Visual Basic, que realiza las siguientes acciones:

1. Cambia la página de inicio del Internet Explorer, apuntando ésta a una página que contiene lo que simula ser un video de Shockwave Flash. La ejecución del código de esta página, se debe a una vieja vulnerabilidad de la Máquina Virtual Java de Microsoft (ver Recomendaciones).

Las claves modificadas son las siguientes:

HKCU\software\microsoft\internet Explorer\main
Start Page = http://www.orst.edu/groups/msa/everwonder.swf

2. Se copia a si mismo a C:\Windows\System\Zacker.vbs (o C:\Winnt\System32\Zacker.vbs, etc.)

3. Crea el siguiente archivo HTML:

C:\Windows\System\Dalal.htm

Esta página contiene una cadena que será agregado a otros archivos .html, .htm, y .asp, y que es un enlace a "http://geocities.com/jobreee/main.htm".

4. Borra conocidos productos antivirus (McAfee, Norton, PC-Cillin, AVP (KAV), ESafe), y cortafuegos (ZoneAlarm, etc.), eliminando el contenido de estas carpetas:

\f-macro\*.*
\Archivos de programa\McAfee\VirusScan95\*.*
\Archivos de programa\Norton AntiVirus\*.*
\Archivos de programa\Quick Heal\*.*
\Archivos de programa\FWIN32\*.*
\Archivos de programa\FindVirus\*.*
\Toolkit\FindVirus\*.*
\TBAVW95\*.*
\VS95\*.*
\rescue\*.*
\Archivos de programa\Zone Labs\*.*
\Archivos de programa\Zone Labs
\Archivos de programa\AntiViral Toolkit Pro\*.*
\Archivos de programa\Command Software\F-PROT95\*.*
\eSafe\Protect\*.*
\PC-Cillin 95\*.*
\PC-Cillin 97\*.*

5. Infecta archivos .html, .htm, y .asp.

6. Sobrescribe con una copia de Zacker.vbs, todos los archivos con las siguientes extensiones (esto los vuelve irrecuperables, a menos que se tenga un respaldo):

.lnk
.zip
.jpg
.jpeg
.mpg
.mpeg
.doc
.xls
.mdb
.txt
.ppt
.pps
.ram
.rm
.mp3
.mdb
.swf

Luego, a los nuevos archivos, le agrega la doble extensión .VBS

7. Si existe el archivo Mirc.ini en la máquina infectada (archivo de control del programa de chat mIRC), entonces todos los archivos con extensión .INI existentes en la misma carpeta del Mirc.ini, serán sobrescritos por el código necesario para enviar la URL del gusano a otras máquinas conectadas a los canales de chat. El mensaje enviado es el siguiente:

See This Site http://geocities.com/jobreee/main.htm.

8. También puede ejecutar una rutina destructiva que borra los archivos con las siguientes extensiones de la carpeta \System de Windows (C:\Windows\System).

DLL
DRV
VXD
TSP

Luego del borrado de archivos, el gusano puede mostrar una ventana con el siguiente texto:

America will never survive till it dismisses jews from its land 
jews bring disasters to any pll they live with
i dunno why they are still alive !!!
lets kill them one by one 
ZaCker.

Si el gusano se ejecuta bajo Windows NT, se crean una gran cantidad de procesos y barras de títulos con el nombre "Christmas", hasta agotar la memoria del equipo infectado.

Para remover manualmente este gusano

1. Ejecute un antivirus actualizado de modo de hacer un escaneo por demanda de todos los archivos del sistema, y borre o repare (según el caso, ya que los códigos de los gusanos no son archivos infectados, sino todo un programa, que no puede ser desinfectado, debiendo ser eliminado.

Nota: Recuerde que el gusano puede deshabilitar el teclado luego de su acción, por lo que algunos cambios en el registro, tal vez deba hacerlos en modo a prueba de fallos (se describe como hacerlo más adelante).

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Zacker

5. Si lo desea (el siguiente cambio no es crítico para el funcionamiento de su PC), en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Control
ComputerName
ComputerName

6. Pinche en la segunda carpeta "ComputerName" (note que hay dos) y en el panel de la derecha pinche sobre el valor ComputerName, y cambie "Zacker" por el nombre del usuario al que está registrado Windows.

7. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios. Vacíe la papelera de reciclaje, y luego reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Para eliminar la página de inicio del Internet Explorer que coloca el gusano, abra Internet Explorer y desde Herramientas, Opciones de Internet, General, Página de inicio, cámbiela por una de su preferencia.

Cómo iniciar su computadora en Modo a prueba de fallos

Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Recomendaciones

Instalar el parche de seguridad que corrige la falla usada 

Esta vulnerabilidad en la Máquina Virtual Java (Microsoft VM) permite la ejecución de cualquier código en nuestra computadora, con tan sólo visitar una página web o leer un mensaje de correo HTML. La Máquina Virtual Java, es el componente que permite la ejecución de aplicaciones Java, y a la vez, los controla, para impedir que ejecuten acciones no deseadas. Microsoft publicó en octubre de 2000, un parche para acabar con dicha vulnerabilidad, la cuál afecta a todos los sistemas que tengan instalado el Internet Explorer 4.x o 5.x (IE 5.0 y anteriores ya no son soportados por Microsoft).

Se aconseja descargar el parche de esta dirección (allí se le indica si es o no necesario el parche):

www.microsoft.com/technet/security/bulletin/MS00-075.asp

Más información:

VSantivirus No. 530 - 20/dic/01
VBS/Dismissed.A. Este virus lo propaga el W32/Reeezak.A
http://www.vsantivirus.com/dismissed-a.htm

VSantivirus No. 530 - 20/dic/01
VBS/Dismissed.B. Este virus lo propaga el W32/Reeezak.A
http://www.vsantivirus.com/dismissed-b.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com