Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Más sobre el "I-Worm.ZippedFiles"
 
Martes 15 de junio de 1999.

Más sobre el "I-Worm.ZippedFiles"

Nombre: IWorm/ZippedFiles

El CERT (Carnegie Mellon University) ha revelado nueva información con respecto al gusano "ExploreZip", y expertos de "HispaSec" han advertido de estas posibilidades.

El worm Zipped_files también es capaz de reproducirse y ejercer su acción dañina a través de una red local. Si encuentra acceso al directorio Windows de cualquier usuario de la red procederá a la infección de dicho equipo copiándose y modificando los archivos WIN.INI encontrados, además de destruir los archivos .DOC (documentos Microsoft Word), .XLS (hojas de cálculo Excel), .PPT (presentaciones PowerPoint), .ASM (código fuente en assembler), .C, .H y .CPP (código fuente y librerías de C y C++).

Puede borrar archivos compartidos y con permisos de escritura, a través de un entorno de red, aun cuando no estén mapeados (como unidades) en la computadora infectada. El gusano, borra en forma continua todos los archivos mencionados en cualquier unidad de disco de una red de computadoras. Sin embargo, parece no borrar archivos con atributos de "ocultos" o de "sistema".

Esto es de extrema gravedad en entornos corporativos, en los que puede (y lo ha hecho ya), causar grandes e irreparables daños, al ser capaz de infectar máquinas sin la necesidad de la acción del usuario, como en el caso de tener que abrir y ejecutar un archivo adjunto a un e-mail.

Sistemas afectados: Windows 95, Windows 98 y Windows NT. Computadoras con archivos compartidos bajo estos sistemas, y que pueden ser modificadas por el usuario de una PC infectada.

Modificaciones al sistema:

El programa "zipped_files.exe" genera una copia de sí mismo en un archivo llamado explore.exe en las siguientes ubicaciones.

En Windows 98:
C:\WINDOWS\SYSTEM\Explore.exe.

En Windows NT:
C:\WINNT\System32\Explore.exe.

Este archivo es una copia idéntica del trojan original (zipped_files.exe), y tiene un tamaño de 210.432 bytes.

En Windows 98, el programa crea esta entrada en el archivo WIN.INI:

run=C:\WINDOWS\SYSTEM\Explore.exe

En Windows NT, la entrada se hace en el registro del sistema:

[HKEY_CURRENT_USER\
Software\Microsoft\Windows\NT\
CurrentVersion\Windows]

run="C:\WINNT\System32\Explore.exe"

Propagación a través de archivos compartidos:

Una vez que "explore.exe" se esté ejecutando, y CADA VEZ que el programa se vuelva a ejecutar, el programa investigará las unidades conectadas a una red de computadoras, en busca de todos los recursos compartidos que contengan un archivo "WIN.INI" con una sección [Windows] válida en ellos.

Por cada archivo encontrado, intentará hacer una copia de si mismo a un archivo llamado "_setup.exe", y procederá a modificar el WIN.INI agregando en ellos la entrada: "run=_setup.exe".

La PC que ejecuta el programa infectado, necesita tener permiso (acceso de escritura) para modificar archivos en la máquina que resulta la "víctima". El archivo "_setup.exe" es idéntico al archivo original (zipped_files.exe) y al archivo "explore.exe".

El original infectado, continuará examinando la red en busca de todas las unidades mapeadas que contengan archivos WIN.INI. Para cada unidad encontrada, "re-infectará" el sistema de la víctima como se describió más arriba.

En Windows 98, al tener la línea "run=_setup.exe" como entrada en su WIN.INI, el C:\WINDOWS\_setup.exe se ejecuta automáticamente cada vez que un nuevo usuario reinicia ese PC. En Windows NT, una entrada "run=_setup.exe" en el archivo de WIN.INI parece no hacer que el programa sea ejecutado automáticamente.

Cuando se ejecuta ese "_setup.exe", el programa intentará hacer otra copia de sí mismo en C:\WINDOWS\SYSTEM\Explore.exe, modificar los WIN.INI nuevamente, reemplazando el "run=_setup.exe" por un "run=C:\WINDOWS\SYSTEM\Explore.exe".

Por lo tanto, cada vez que el gusano se ejecuta como "_setup.exe", configura el sistema para que se inicie más tarde como explore.exe. Pero cuando se ejecuta como "explore.exe", intentará modificar archivos WIN.INI válidos en cada unidad mapeada, configurando esos archivos a su vez para ejecutar "_setup.exe".

Propagación vía e-mail:

Como vimos, el gusano se propaga al contestar cualquier nuevo e-mail que se reciba en la computadora infectada. Los mensajes de respuesta son similares al que se recibió con el virus, y cada uno contiene otra copia adjunta del archivo "zipped_files.exe".

Debemos tener en cuenta que muchos anti-virus pueden descubrir y quitar el archivo ejecutable en la computadora local, pero debido al proceso continuo de re-infección (similar a un "ping-pong"), simplemente quitando todas las copias del programa existentes en un sistema infectado no podemos asegurarnos que nuestro sistema sea infectado nuevamente. Para prevenir esta re-infección, no debemos compartir recursos con unidades que contengan un archivo WIN.INI. El consejo dado por el CERT es desactivar todos los recursos compartidos que contengan el archivo WIN.INI (por lo general discos C: de unidades compartidas, aunque no necesariamente).

[Datos extraídos del boletín del CERT Coordination Center de la Carnegie Mellon University].

Vea más datos (y formas de eliminarlo) en nuestro articulo: Un peligro mortal llamado "I-Worm.ZippedFiles"

 

Copyright 1996-2000 Video Soft BBS