Alerta: Falsos avisos de correos y parches.

Despues de un largo interludio sin mucho interezante que reportar, tenemos tres nuevos virus que usan una misma tactica.

Actualmente la forma mas fácil de infectarse con virus es activar un archivo adjunto en un correo de Internet. Los autores de los virus y gusanos buscan nuevas formas para convencer a los usuarios para que activen el archivo.

La ultima estrategia es pretender que es un parche o una actualización de seguridad. Hay dos gusanos que pretenden que son parches oficiales de Microsoft, uno de ellos incluso incluye links al sitio de Microsoft.

El otro simplemente dice que es un parche, y no dice nada mas.

Microsoft nunca envía archivos por E-mail, es demasiado peligroso. Si le llega un archivo que pretende que es una actualización o aviso de Microsoft, por favor, no ejecute el archivo, bórrelo inmediatamente.:

Como observaran, todos estos utilizan a Outlook para buscar direcciones o para infectar, así que es hora de actualizarse a una version mas reciente, o a otro programa de correos.

Javier Delgado

• W32.Gibe@mm Falso aviso de Microsoft.
• Worm.Zircon, otro falso parche
• Redesi, otro gusano disfrazado de parche de microsoft

Nombre    W32.gibe@mm
Tipo:        Gusano, caballo de Troya
Alias:       W32/Gibe@mm, WORM_GIBE.A, W32/Gibe-A
Carga       Q16309.exe
Tamaño   del archivo: 122,800 bytes.

El gusano W32.Gibe@mm utiliza Microsoft Outlook, y su propio programa de correo SMTP para esparcirse e infectar.

Este gusano llega en un correo, que esta disfrazado cono "Boletín de seguridad de Microsoft" (Microsoft Internet Security Update), e incluye un archivo adjunto llamado Q16309.exe. El boletín pide que se ejecute el archivo, que por la forma oficial en que aparece el correo, es muy fácil hacer. Una ves ejecutado, el gusano trata de copiarse a todas las unidades de disco que estén mapeadas en la red. Una ves activado, el virus busca todas las direcciones de Outlook, y además busca los archivos .htm, .html, .asp y .php, en busca de otras direcciones de correo, con lo que puede saturar las redes al tratar de hacer envíos masivos de correos.

Además instala un caballo de Troya, que abre una puerta trasera, permitiendo acceso remoto al sistema infectado.

El Mensaje falso dice:

From: Microsoft Corporation Security Center
Subject: Internet Security Update
Message:Microsoft Customer,

this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities...

How to installRun attached file q216309.exeHow to useYou don't need to do anything after installing this item..

Incluye el archivo: Q216309.exe que es el gusano.

Detalles:

Cuando el gusano es activado, genera varias copias de archivos, que son copias y algunos componentes extras:

• Q21609.exe (122,880 bytes). Este es el archivo original con el virus.
• Tnmscc.dll (122,880 bytes) esta es una copia del archivo
• BcTool.exe (32,768 bytes). Esta es la parte del gusano que se encarga de copiarse con Outlook y por SMPTE
• GfxAcc.exe (20,480 bytes). Este es el caballo de Troya, abre el puerto 12378
• 02_N803.dat (tamaño variable). Aquí almacena las direcciones de correo que va a enviar.
• WinNetw(20,480) . Este es el componente que buscar las direcciones de correo en el disco duro

Eliminación.

Se deben buscar y borrar los archivos descritos.

También deben eliminarse los siguientes datos del registro de Windows.

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunLoadDBackUp
  C:\Windows\BcTool.exe3Dfx Acc C:\Windows\GFXACC.exe
• HKEY_LOCAL_MACHINE\Software\AVTech\SettingsInstalled ... by BegbieDefault Address <Default Email Address>Default Server <Default Server>

Por error, el virus también envía a veces copias corruptas de si mismo, que no funcionan. Aun así, hay que eliminarlas.

Nombre  : Worm.Zircon
Tipo    : Gusano
Archivo : patch.exe
Tamaño  : 12Kb

Resumen:

Reportado por Kaspery Labs, este gusano llega en un correo electrónico que puede venir en varios idiomas. En ingles dice "importante", pero también puede venir en Japonés, dependiendo de la dirección de correo.

El cuerpo del mensaje esta en blanco, y solo contiene el archivo adjunto llamado:

patch.exe

Una ves activado, el gusano se envía a todas las direcciones en la libreta de dirección de Outlook, utilizando su propio programa de correos SMPTE.

El gusano solo se activa cuando el usuario pica el archivo adjunto.

Este gusano no infecta la computadora y no se vuelve a activar a menso que el usuario pique de nuevo en el archivo.

En este momento no se sabe si causa algún daño, pero es mejor evitarlo

Tipo: gusano
Infeccion: Outllok
Archivo: Si.exe, ReDe.exe, Disk.exe,    Common.exe, UserConf.exe

Resumen

Este gusano llega en un correo que pretende ser un parche de seguridad de Microsoft, y puede tener alguno de estos nombres:

FW: Microsoft security update.
FW: Security Update by Microsoft.
FW: IT departments on state of HIGH ALERT.
FW: Important news from Microsoft.
FW: Stop terrorists computer viruses reign.
FW: Terrorists release computer virus.
FW: Emergency response from Microsoft Corp.
FW: Terrorist Emergency. Latest virus can wipe disk in minutes.
FW: Microsoft Update. Final Release Candidate.
FW: New computer virus.

El cuerpo del mensaje dice:

Just recieved this in my email
I have contacted Microsoft and they say it's real !

-----Original Message-----
From: Microsoft Support Desk [mailto:Support@microsoft.com]
Sent: 17 October 2001 15:21
Subject: Security Update

Due to the recent spate of email spread computer viruses Microsoft Corp has released a security patch. Please apply the attached file to your Windows computer to stop any futher spread or these malicious programs.

Regards

Microsoft Support

Tambien existen una variacion de este gusano que peude tener alguno de estos nombres de mensajes:

• Kev Gives great orgasms to ladeez!! -- Kev
• hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
• Scientists have found traces of the HIV virus in cows milk...here is the proof
• Will Yay. I caught a fish -- Six
• I don't want to write anything but Si is bullying me. -- Jim
• I want to live in a wooden house -- Arwel
• Michelle still owes me ã10 ... shit ! -- Si
• Why have I only got cheese and onion crisps? I hate them !! -- Si
• A new type of Lager / Weed variant...... sorted !
• My dad not caring about my exam results -- by Michelle

El archivo que viene con el correo puede tener algun de estos nombres:

• Si.exe
• ReDe.exe
• Disk.exe
• Common.exe
• UserConf.exe

Cuando el usuario activa uno de estos mensajes, el gusano comienza su rutina de infección. SE instala en la computadora y busca las direcciones de la carpeta de Outlook, después envía correos infectados utilizando a Outlook.

Nota: actualmente la mayor parte de los virus recientes prefieren utilizar sus propias rutinas de correos, por lo visto el programador de este virus le dio flojera escribir las suyas.

Este gusano esta programado para activarse en noviembre 11, y busca destruir todo el contenido del disco duro C: para esto, modifica el archivo Autoexec.bat, para que la próxima ves que inicie la computadora, se formatee el disco duro. Afortunadamente este procedimiento solo funciona en algunas maquinas, las que tiene la fecha en formato: "dd/mm/yy" o "mm/dd/yy".

Eliminación:

Se debe buscar los archivos mencionados, y eliminar las referencias que aparezcan en el registro de Windows.

Boletín Paralax 52, Martes, 19 de Marzo de 2002