Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Shorm. Roba las claves y datos de acceso a Internet
 
VSantivirus No. 202 - Año 5 - Viernes 26 de enero de 2001

Nombre: W32/Shorm (McAfee)
Tipo: Gusano de Internet
Alias: Worm.Shorm (AVP)
Fecha: 25/ene/01
Tamaño: 20,480 bytes

Es un gusano capaz de propagarse a través de redes locales o de Internet.

Para propagarse, el gusano se conecta a una computadora remota, y si el disco es compartido en modo "Tipo de acceso: completo", el gusano se copia a si mismo a cada directorio de inicio de Windows (si existe en ese disco).

El gusano posee además habilidades para robar las claves de acceso. Utilizando algunas DLLs del sistema, obtiene toda la información relativa al RAS Dial-Up (Remote Access Service), o sea la información de acceso a Internet, tal como nombre de usuario, claves, etc., así como las claves que permanecen en el caché. Luego envía todos esos datos a dos direcciones de e-mail:

krenx@mail.ru
winam@mail.ru

Los mensajes enviados son como este:

De: root@lamer.ru
Asunto: "Passwords"

Texto:
Entry name: (nombre)
User name: (login de ingreso)
Password: (clave)
Phone number: (número telefónico)

El gusano utiliza un reenviador anónimo, en esta ubicación:

http://www.void.ru/cgi-bin/anon.cgi

El gusano también intenta conectarse a Internet a través del puerto TCP 1058, para enviar información al dominio "newmail.ru".

El cuerpo del gusano, es una aplicación Win 32 (EXE en formato PE), escrita en Delphi y comprimida con la utilidad de compresión de ejecutables PE, ASpach.

Su código contiene este texto:

SharedWorm v1.2

Cuando el gusano se ejecuta, se copia a si mismo al directorio C:\WINDOWS\SYSTEM y C:\WINDOWS, con tres nombres diferentes:

C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\MSGSRV16.EXE
C:\WINDOWS\SYSTEM\TAPI32.EXE

También modifica el registro para poder ejecutarse automáticamente en cada reinicio de Windows, en las siguientes claves:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
MSTA=C:\WINDOWS\SYSTEM\MSTASK.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MSGS=C:\WINDOWS\MSGSRV16.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
TAPI=C:\WINDOWS\SYSTEM\TAPI32.EXE

El gusano se conecta a la página Web "http://krenx.newmail.ru/ip.txt" (ya deshabilitada) y lee el contenido de este archivo de texto. Este contiene una lista de direcciones IP, pero con solo los primeros tres números en lugar de los cuatro característicos de toda dirección IP. Por ejemplo:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

Al azar, el gusano selecciona una de estas máscaras de subred, e intenta conectarse a cada máquina en esa subred.

Si se establece una conexión, el gusano intenta acceder a los discos duros de la computadora remota, y localizar el nombre del directorio donde Windows está conectado en esa PC.

Entonces, se copia a si mismo a esas computadoras, con el siguiente nombre:

C:\WINDOWS\Menú Inicio\Programas\Inicio\AVPMonitor.exe

En el próximo reinicio de Windows en esa computadora, el gusano se ejecutará automáticamente.

Es también capaz de actualizarse a si mismo desde un sitio de Internet. Para ello, intenta descargar de allí el archivo "http://krenx.newmail.ru/win.exe" en la máquina local y luego ejecutar "win.exe".

Al haberse deshabilitado el sitio desde donde el gusano obtenía las direcciones IP, el riesgo de propagación es mínimo en esta versión.

Fuente: Kaspersky, McAfee

 

Copyright 1996-2001 Video Soft BBS