FriTear Gusano que se propaga por correo electrónico, redes P2P y redes compartidas. Sobrescribe archivos ejecutables con su propio código. Esta comprimido con la herramienta UPX. El icono del ejecutable utilizado por el gusano es una imagen de un trébol.
Nombre completo: Worm.W32/FriTear@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Alias:Win32/FriTear.A (Enciclopedia Virus (Ontinent))
Detalles
Cuando el gusano se ejecuta se copia dentro de la carpeta C:\WINDOWS con el nombre wshell.exe
Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
WinLogOn = c:\windows\wshell.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
La primera vez que el gusano se ejecuta muestra en pantalla la ventana de cierre del sistema intentando que el usuario reinicie Windows. Si esto ocurre el virus crea varios hilos para ejecutar varias funciones.
Para enviarse a si mismo el gusano busca en el equipo infectado direcciones de correo electrónico, logs del MSNmessenger y cache del Internet Explorer.
Evita utilizar direcciones que contengan alguna de las siguientes cadenas:
anon
anti
archive
hotma
kasper
micro
norman
panda
per
sopho
videosoft
virus
También crea copias de si mismo en la unidad C: , estas copias son utilizadas como datos adjuntos.
Utiliza 11 mensajes distintos para propagarse:
Mensaje 1:
Asunto: ¿Somos los mejores amigos?"
Texto del mensaje:
Acaso somos los mejores amigos? tu crees? vamos a ver
Datos adjuntos: Amigos-Test.pif
Mensaje 2:
Asunto: Te Amo lo sabias?
Texto del mensaje:
Te amo, Te Amo, Te amo!!
Datos adjuntos: TeAmo.pif
Mensaje 3:
Asunto: I LOVE YOU!! YOU KNOW?!
Texto del mensaje:
i love you, i love you, i love you!!
Dato s adjuntos: LetMeLoveYou.pif
Mensaje 4:
Asunto: Can i Ask you a question?
Texto del mensaje:
i really want to ask you something...
Datos adjuntos: something.pif
Mensaje 5:
Asunto: Puedo hacerte una pregunta?
Texto del mensaje:
de verdad nesecito hacerte una pregunta...
Datos adjuntos: MiPregunta.pif
Mensaje 6:
Asunto: Hola amigo!!
Texto del mensaje:
TQM nunk te olvidare
Datos adjuntos: friends.pif
Mensaje 7:
Asunto: comprendeme porfavor...
Texto del mensaje:
en estos momentos no m siento muy bien y las cosas no estan muy claras... ayudame porfavor
Datos adjuntos: ayuda.pif
Mensaje 8:
Asunto: GUESS WHAT!!
Texto del mensaje:
Guess what! yes i am here!! i wait a long time just for come here with you!
Datos adjuntos: map23.pif
Mensaje 9:
Asunto: i think i love you
Texto del mensaje:
i just.. i just... i cant wait..i have toy say you this..
Datos adjuntos: just.pif
Mensaje 10:
Asunto: creo que te amo
Texto del mensaje:
no se como paso..pero no puedo comprender muchas cosas...solo..solo..
Datos adjuntos: solo.pif
Mensaje 11:
Asunto: Adivinaa que!!
Texto del mensaje:
siiiiiii!! estoy aqui!! tanto tiempo esperandoo!!
Datos adjuntos: foto.pif
p>Libera y ejecuta el archivo c:\log.vbs
Este archivo recolecta información del cache y la guarda en el archivo "f.log"
El gusano busca en la siguiente clave del registro la ubicación donde se encuentren instaladas las aplicaciones P2P:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\[Directorio donde este instalada la aplicación P2P]
Para propagarse por redes P2P se copia dentro de las carpetas compartidas por dichas aplicaciones:
\KaZaA\My Shared Folder\
\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\kazaa lite\My Shared Folder\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\
\WinMX\My Shared Folder\
\Tesla\Files\
\Overnet\Incoming\
\XoloX\Downloads\
\Rapigator\Share\
\KMD\My Shared Folder\
Los nombres con los que se copia dentro de dichas carpetas son los siguientes:
Ad-Aware.exe
DivX Player (with DivX Codec) .exe
Download Accelerator Plus.exe
ICQ 4.exe
ICQ Pro 2003b.exe
iMesh.exe
RealPlayer.exe
Spybot - Search & Destroy.exe
WinRAR.exe
WinZip.exe
Busca archivos ejecutables en el equipo infectado, luego son sobrescribe con una copia de si mismo.
También se propaga por redes buscando unidades de la A:\ a la Z:\ para copiarse con el nombre "winservices.exe" dentro de los siguientes directorios: \
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINDOWS\Menú inicio\Programas\Inicio\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
Solo Para ti.pif
Just for you.pif
El gusano modifica el archivo "hosts" para evitar que el usuario acceda a los siguientes sitios:
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
kaspersky.com
kav.com
pandasoftware.com
pandasoftware.es
perantivirus.com
u2.eset.com
u3.eset.com
u4.eset.com
Busca ventanas que contengan la siguiente cadena para cerrarlas:
Kaspersky Anti-Virus Scanner
También cierra el Administrador de tareas "taskmgr.exe".
El gusano crea la siguiente clave para guardar información:
HKCU\GEDZAC\FriendlyTear\
Muestra en pantalla una ventaja con el siguiente texto;
be happy smile!
Because someday you will not be happy and may your world falls down...
- FriendlyTear by Byt3Cr0w/GEDZAC
- hi BlackRose
-
Crea el siguiente directorio en la unidad C:\ de la maquina infectada:
$_8322_3_GEDZAC_82635_FRIENDLYTEARS_(ByT3Cr0W)_24
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4148W32/Amus.A. Asunto "Listen and Smile"Nombre: W32/Amus.A
Tipo: Gusano de Internet
Alias: Amus, Win32/Amus.A, I-Worm.Amus.a, W32/Amus.A.worm, Win32.Amus.A, WORM_AMUS.A
Plataforma: Windows 32-bit
Tamaño: 51,782 bytes
Gusano que se propaga a través del correo electrónico y es capaz de borrar archivos .INI y .DLL en determinados días del mes.
Cuando se ejecuta, crea las siguientes copias de si mismo:
c:\masum.exe
c:\windows\Ankara.exe
c:\windows\Adapazari.exe
c:\windows\Anti_Virus.exe
c:\windows\Cekirge.exe
c:\windows\KdzEregli.exe
c:\windows\Messenger.exe
c:\windows\My_Pictures.exe
c:\windows\Meydanbasi.exe
c:\windows\Pide.exe
c:\windows\Pire.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
También crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microzoft_Ofiz = c:\windows\KdzEregli.exe
Para no cargarse más de una vez, utiliza como semáforo el siguiente mutex (indicador en memoria):
Masum
Para propagarse por correo electrónico, el gusano utiliza el Microsoft Outlook y Outlook Express, construyendo el siguiente mensaje:
Asunto: Listen and Smile
Texto del mensaje: Hey. I beg your pardon. You must listen.
Datos adjuntos: masum.exe
También modifica o crea los siguientes valores del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = "Konneting du pepil and dizkoneting you.
Anlami: Baglansan ne olacak, baglanmasan ne olacak.
Zaten hatlar burada rezalet."
HKCU\Software\Microsoft\Masum
Who = "OnEmLi_DeGiL"
El gusano puede hacer escuchar al usuario un texto en inglés, usando las capacidades de conversación del sistema para vocalizar el siguiente texto escrito:
"How are you. I am back. My name is mister hamsi.
I am seeing you. Haaaaaaaa. You must come to turkiye.
I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule."
Los días 1, 6, 20 y 25 de cada mes cambia la página de inicio del Internet Explorer por una con el siguiente texto:
Konneting du pepil and dizkoneting you. Anlami:
Baglansan ne olacak, baglanmasan ne olacak.
Zaten hatlar burada rezalet.
Si se ejecuta un día 2, 15 o 17 de cada mes, intentará borrar todos los archivos con extensión .INI de la carpeta de Windows.
Si se ejecuta los días 10 o 23 de cada mes, intentará borrar los archivos .DLL de la misma carpeta.
Más información:
http://www.vsantivirus.com/amus-a.htm
W32/Gaobot.LL. Se copia como "svcsys32.exe"Nombre: W32/Gaobot.LL
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.LL, Agobot.LL, W32/Agobot-LL, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen, Gaobot, Nortonbot, Phatbot, Polybot, Backdoor.Agobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\svcsys32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
svcsys32 = "svcsys32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
svcsys32 = "svcsys32.exe"
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SVCSYS32\
HKLM\System\CurrentControlSet\Services\svcsys32\
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
Ejecutar comandos en forma remota
Eliminar procesos seleccionados
Examinar el tráfico HTTP, FTP, e IRC (sniffer)
Finalizar servicios de Windows
Listar los procesos activos
Obtener archivos a través de FTP y HTTP
Obtener direcciones de correo de la computadora infectada
Obtener información del registro
Obtener un determinado URL
Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
Reiniciar la computadora
Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos: (ver lista en el link)
También es capaz de finalizar los siguientes procesos, creados por otros gusanos y troyanos: (ver lista en el link)
El gusano es capaz de borrar todos los archivos y carpetas cuyo nombre contenga la siguiente cadena:
sound
Más información:
http://www.vsantivirus.com/gaobot-ll.htm
