| |
VSantivirus No. 579 - Año 6 - Miércoles 6 de febrero de 2002
W32/Tariprox-B. Un virus "proxy"
http://www.vsantivirus.com/tariprox-b.htm
Nombre: W32/Tariprox-B
Tipo: Gusano de Internet
Fecha: 5/feb/02
Tamaño: 40 Kb (sin comprimir), 21 Kb (comprimido con UPX)
El gusano es un archivo .EXE en formato PE (Portable Executable), con un tamaño de 40,960 bytes. Hay una variante comprimida con la utilidad UPX de unos 21 Kb.
Es un virus "proxy" que se adjunta a si mismo a todos los mensajes que son enviados desde la máquina infectada.
Es decir, usted envía un mensaje común a alguien, y cuando dicho mensaje se prepara para ser enviado, es infectado por el gusano, el cuál se agrega al mensaje escrito por usted. Esto aumenta enormemente las posibilidades que la persona que recibe el mensaje se infecte (un mensaje que muy bien puede ser la respuesta a otro anterior, tiene muchas más posibilidades de engañarnos que un mensaje que no hemos solicitado, por ejemplo, y si además el adjunto tiene nuestro nombre, podemos pensar que la persona que nos responde, nos envía algo especial).
El gusano llega a su vez a nosotros en un mensaje de alguien conocido, con un adjunto llamado
<nombre de usuario>.DOC.PIF
El <nombre de usuario> es el nombre del destinatario, o sea el nuestro. Note la doble extensión, que nos puede hacer creer se trata de un archivo de Word
(.DOC), cuando en realidad es un archivo .PIF, cuya extensión no es mostrada en un sistema configurado por defecto.
Un archivo PIF (Windows Program Information), es utilizado en principio, solo para almacenar información relacionada con la ejecución de los programas DOS, y uno supondría que no contienen más que datos como el nombre del ejecutable, su tamaño, ubicación en el disco, configuración de la pantalla, uso de la memoria y poco más. Sin embargo, estos archivos también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF.
Cuando el archivo .PIF se ejecuta, el gusano se copia a si mismo en la carpeta de Windows:
C:\Windows\MMOPLIB.EXE
También modifica la siguiente entrada del registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mmoplib = C:\Windows\MMOPLIB.EXE
Cuando se ejecuta de este modo, el gusano reemplaza o crea
un archivo
HOSTS, usado para mapear nombres de máquinas (dominios) con sus respectivas direcciones IP.
Este archivo es usado por varias utilidades, aunque no suele venir activo en Windows 9x (existe un ejemplo de este archivo en
\Windows\ con el nombre de HOSTS.SAM (de SAMple, ejemplo), que debe ser renombrado a
HOSTS. (sin extensión), en la misma carpeta para que funcione.
Un uso interesante es acelerar el acceso a sitios, poniendo su dirección IP en ese archivo, ejemplo:
253.52.250.15
www.un_sitio_determinado.com
El archivo, en otros Windows, suele estar ubicado en esta dirección:
Winnt\System32\drivers\etc\
El gusano crea una entrada en un nuevo archivo HOSTS, que mapea la dirección del servidor SMTP del usuario, a la dirección usada para definir la propia máquina
(127.0.0.1 = localhost), no una dirección en Internet.
La entrada en el archivo HOSTS puede figurar así:
127.0.0.1
mail.mi_proveedor.com
W32/Tariprox-B se mantiene entonces en memoria, esperando una solicitud de conexión al puerto 25 (el puerto usado convencionalmente por los servidores SMTP).
Cuando el usuario envía su mensaje, el cliente de correo (Outlook Express), intenta conectarse al servidor SMTP por el puerto 25, pero a la dirección 127.0.0.1, cosa que es imposible porque se trata de nuestra propia PC.
Sin embargo, el gusano intercepta este intento, y es quien se conecta al verdadero servidor SMTP en Internet, actuando como intermediario (proxy), enviando sus propios datos además del mensaje original.
Además, evita enviarse más de una vez a la misma persona (si mandamos más de 4 mensajes a un mismo destinatario, el adjunto con el virus irá en uno solo de ellos, lo que lo hace más creíble).
Para controlar esto, el gusano examina la lista de los últimos 5 envíos realizados, de la siguiente rama del registro:
HKLM\Software\Microsoft\Media Optimization library\
MRU = NULL, NULL, recipient3, recipient2, recipient1
Si el destinatario actual está en esa lista, no envía el adjunto, solo el mensaje original.
En algunos sistemas, la misma máquina actúa como servidor SMTP (envío) y POP3 (recepción).
Por ejemplo:
SMTP = adinet.com.uy
POP3 = adinet.com.uy
En esos casos, cuando el programa (Outlook Express) intenta conectarse al servidor POP3 para bajar correo, la dirección de conexión (127.0.0.1) hace que falle.
Tariprox acepta la conexión pero no pasa ninguna respuesta si no se han enviado mensajes a esa dirección. Esto puede impedirle al usuario bajar nuevos mensajes.
Cualquier otro programa que utilice HOSTS para resolver la dirección IP (como Telnet), también será incapaz de establecer una conexión a la máquina que actúa como el servidor SMTP predefinido, porque esos programas intentarán conectarse a la dirección 127.0.0.1.
En otras configuraciones suelen existir dos máquinas (en el lado del proveedor), una para manejar SMTP y otra para manejar POP3 (o IMAP, DSMP etc.). En estos casos, el gusano funcionará sin ocasionar problemas (más allá de la propagación).
Este gusano fue diseñado para trabajar específicamente con Outlook Express, de modo que falla con otros programas de correo.
El gusano contiene este texto en su código:
W32.Taricone-B.worm@proxy by I.V.E.L.
Cómo borrar manualmente el virus
Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Teclee HOSTS y pulse ENTER
3. Borre HOSTS si aparece (si utiliza HOSTS para otras tareas, en lugar de borrarlo, edítelo con el bloc de notas y borre las líneas que hagan referencia a los servidores de correo SMTP y POP3 usados. No olvide grabarlo como
HOSTS. (HOSTS (punto)), ya que de no tener el punto, queda guardado como
.TXT). No en todas las computadoras existe HOSTS, aunque si puede estar
HOSTS.SAM que solo es un ejemplo del uso del HOSTS.
4. Seleccione Inicio, Buscar, Archivos o carpetas
5. Teclee MMOPLIB.EXE y pulse ENTER
6. Borre MMOPLIB.EXE si aparece
7. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
9. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada
"mmoplib" (C:\Windows\MMOPLIB.EXE) y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Notas:
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
Más información:
VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
