Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Welyah.D. Infecta sin necesidad de abrir el mensaje
 
VSantivirus No. 578 - Año 6 - Martes 5 de febrero de 2002

 W32/Welyah.D. Infecta sin necesidad de abrir el mensaje
http://www.vsantivirus.com/welyah-d.htm

Nombre: W32/Welyah.D (Shoho)
Tipo: Gusano de Internet
Alias: I-Worm.Welyah.D, Worm/WelYah.D, I-Worm.Shoho-G
Fecha: 2/ene/01
Tamaño: 110,592 bytes
Fuente: Kaspersky, F-Secure, Central Command

W32/WelYah.D, es una variación pequeña del gusano WelYah y sus variantes A, B, y C.

Se propaga en sistemas Win32, y es un archivo en formato PE (Portable Executable), que ha sido compilado en Visual Basic 6.

El virus envía mensajes con adjuntos infectados por él y además puede enviar a ciertos sitios FTP, algunos archivos robados de la computadora infectada (nombres de usuario y contraseñas del cliente CuteFTP), los cuáles comprometen la seguridad de la víctima.

También posee una rutina destructiva, la cuál es capaz de borrar archivos del sistema.

El virus se ejecuta por el solo acto de leer o visualizar un mensaje, ya que hace uso de una conocida brecha en la seguridad del Internet Explorer, relacionada con la etiqueta IFRAME (ms01-020 Iframe exploit). También se ejecutaría si el usuario hace doble clic sobre el adjunto, el cuál simula ser un archivo de solo texto .TXT

La primera acción del gusano es copiarse a si mismo a las carpetas de Windows y sistema, con el nombre WINL0G0N.EXE (las "0" son números cero, no la letra "O"):

C:\Windows\Winl0g0n.exe
C:\Windows\System\Winl0g0n.exe

Luego modifica las siguientes claves del registro de Windows, para autoejecutarse en cada reinicio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Winl0g0n = C:\Windows\Winl0g0n.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winl0g0n = C:\Windows\Winl0g0n.exe

Para propagarse, el gusano hace uso de su propia rutina de conexión SMTP, cuya dirección es tomada del registro (SMTP de la cuenta de correo del usuario), o bien utiliza una dirección SMTP predefinida en su código: 210.177.111.18, no dependiendo por lo tanto del Outlook, ni de ningún otro programa externo para enviarse.

Las direcciones a las que se envía, son sacadas de archivos con las siguientes extensiones, que hayan sido encontrados en la computadora infectada (corresponden a la libreta de direcciones, bases de mensajes, etc.): 

*.eml
*.wab
*.dbx
*.mbx
*.xls
*.xlt
*.mdb

El mensaje, en formato HTML, tiene las siguientes características:

Asunto: Welcome to Yahoo! Mail
Adjunto: README.TXT                              .pif 

La doble extensión esconde la verdadera (.PIF). Para hacernos creer es un .TXT y no un .PIF, coloca numerosos espacios vacíos entre ambas extensiones, lo que deja fuera de la vista a la segunda.

Sin embargo, el gusano hace uso de una conocida vulnerabilidad para infectar la máquina del que recibe el mensaje. Para visualizar un email con formato HTML, el Outlook (y otros programas de correo) utilizan el Internet Explorer. Este no maneja correctamente algunos tipos de extensiones MIME, de tal manera que bajo ciertas condiciones, se puede ejecutar un archivo binario adjunto a un correo, como en este caso.

El parche está disponible desde marzo de 2001.

Más información sobre este gusano/troyano, así como la forma de sacarlo de un sistema infectado en:

VSantivirus No. 531 - 21/dic/01
W32/Welyah. Se ejecuta al leerlo y roba datos personales
http://www.vsantivirus.com/welyah.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS