El del día de hoy, vamos a uno por día
--------------------------------------------------------
W32/Wallon.A. Infecta a través de un enlace
http://www.vsantivirus.com/wallon-a.htmNombre: W32/Wallon.A
Tipo: Gusano de Internet
Alias: Wallon, I-Worm.Wallon, Win32/Wallon.A,
W32/Wallon.worm, W32/Wallon.A@mm, W32/Wallon.worm.a,
WORM_WALLON.A, W32.Wallon.A@mm, Win32.Wallon,
TR/SPY.GooglerFS.1
Fecha: 11/may/04
Plataforma: Windows 32-bit
Tamaño: 150,528 bytes (ASPack)
El 11 de mayo de 2004 se detectaron numerosos reportes de infección ocasionada por este gusano. El mismo envía un mensaje con formato HTML, sin adjuntos, que contiene un enlace que se vale del servicio de redireccionamiento de Yahoo para enviar el navegador del usuario a un sitio Web, donde se ejecuta un script que descarga y ejecuta el componente principal del gusano y otros archivos necesarios para su descarga e instalación. La página actualmente no está accesible.
Se trata de un gusano que no se envía como adjunto. En lugar de ello, envía un mensaje de correo electrónico en formato HTML, que solo contiene un enlace como el descrito antes.
El enlace redirecciona a un sitio de donde se descarga la página TERRA.HTML.
http :// www .security-warning .biz/personal6/maljo24
Este archivo contiene a su vez, un enlace encriptado a la página COUNT.HTML.
Esta página utiliza una conocida vulnerabilidad para descargar y ejecutar el archivo SYS.CHM.
Este archivo se vale de un fallo en el manejo de los archivos CHM por parte del Internet Explorer. Es posible tratar a cualquier archivo local como un archivo CHM (ayuda compilada), sin serlo, si se utiliza una sintaxis especial. Esto puede ser explotado por programas como WinAmp, Flash Player, XMLHTTP, ADODB stream y otros, para ubicar y ejecutar archivos en el área de seguridad local.
SYS.CHM descarga de ese modo otro archivo llamado SYS.EXE, el cuál sobrescribe al Reproductor de Windows Media (WMPLAYER.EXE).
El archivo SYS.EXE (ahora como WMPLAYER.EXE), es ejecutado cada vez que el usuario intente usar el reproductor de Windows Media.
Este archivo (SYS.EXE) descarga otro archivo llamado NOT.EXE y lo guarda como ALPHA.EXE en el raíz de la unidad C: del disco duro. Finalmente lo ejecuta. La página estaba en el siguiente sitio: http:/ /counter .spros .com
Adicionalmente, SYS.EXE (un troyano del tipo "downloader"), cambia las páginas de inicio y de búsqueda del Internet Explorer para que apunten al siguiente sitio:
www .google .com .super-fast-search .apsua .com
El archivo principal del gusano (ALPHA.EXE), es un ejecutable en el formato PE (Portable Executable), programado en Borland Delphi y comprimido con la herramienta ASPack.
Cuando se ejecuta, el gusano modifica la siguiente entrada en el registro:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Wh = [valor]
Si [valor] es [Yes], el gusano aguarda 5 horas antes de abrir una página web (de contenido pornográfico) en el siguiente sitio, utilizando el navegador que esté configurado por defecto:
pixpox .com
Luego, el gusano continúa abriendo dicho sitio cada 10 minutos durante al menos 10 intentos. Si el registro no existe (la primera vez que se ejecuta el gusano), entonces lo crea y luego obtiene la configuración SMTP del usuario del propio registro. Localiza y abre la libreta de direcciones de Windows (WAB), para enviar a todos los contactos mensajes como el siguiente, utilizando su propio motor SMTP:
De: [dominio destinatario]
Para: [dirección destinatario]
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/[dominio destinatario]/NEWS
Por ejemplo, si la dirección es
[email protected], el mensaje podría ser el siguiente:
De: mail.com
Para:
[email protected]Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/mail.com/NEWS
El gusano evita enviarse a las direcciones que contengan las siguientes cadenas:
+
admin
microsoft
postmaster
software
support
webmaster
Adicionalmente, el gusano envía un mensaje vacío a la siguiente dirección (esto permitiría obtener las direcciones de todas las máquinas infectadas, con la posible intención de realizar una base de datos para spammers):
[email protected]Si la libreta de direcciones del usuario está vacía, se muestra un mensaje de error:
Alpha
OLE error 8004010F
[ OK ]
* Reparación manual
Eliminación de procesos del virus en memoria
* Utilización de la herramienta "Process Explorer"
Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtmlUna vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
2. Busque en la lista de procesos el que se llame
"ALPHA.EXE".
3. Pulse el botón derecho sobre ese proceso, y en la misma ventana pulse en el botón "Kill Process" para matar este proceso.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Internet Explorer
\Main
3. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Wh
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar todos los archivos temporales de internet explorer
