NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

W32/Pepex.a@MM: Gusano de Internet que propaga por e-mail, KaZaa y mIRC

Nombre de virus: W32/Pepex.a@MM
Alias conocidos: I-Worm.Pepex, W32.Jonbarr@mm, Win32.PiBi.A@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero .EXE infectado
Propagación: A través de e-mail, KaZaa y mIRC
Detección: desde DATS 4223 (o heurísticamente desde 4120)
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

 

W32/Pepex.a es un gusano mass-mail que intenta recopilar direcciones de e-mail en caché de páginas web, propaga via Internet Relay Chat y a través de la red entre iguales de KaZaa.

Cuando propaga por correo electrónico, puede presentarse como uno de los siguientes mails:

 

Asunto: Hello
Mensaje: You will find all you need in the attachment.
Adjunto: Setup.exe

De: john@barrysworld.com
Asunto: Hello
Mensaje: You will find all you need in the attachment.
Adjunto: Setup.exe

De: "Microsoft" <information@microsoft.com>
Asunto: Internet Explorer vulnerability patch
Mensaje: You will find all you need in the attachment.
Adjunto: Setup.exe

En este último caso, la dirección de respuesta que presenta es

"Microsoft" <microsoft@microsoft.com>

 

Cuando se ejecuta el fichero adjunto, el virus finaliza el proceso en memoria que contenga la cadena "av" o "AV". Salva una copia del gusano en el directorio WINDOWS\SYSTEM con el nombre WINSYS#.EXE (donde # es un número de 2 ó 3 dígitos), y crea una clave de arranque en el registro para cargar el gusano en el inicio del sistema:

 

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\Windows task32 sys=%Worm Path%

El gusano intenta utilizar WINZIP32.EXE para crear una versión .ZIP de sí mismo en el directorio WINDOWS\SYSTEM, utilizando el mismo nombre que el fichero que ha generado en dicho directorio. A continuación, sobreescribe el fichero SCRIPT.INI de mIRC con instrucciones para enviar un copia del fichero .ZIP a usuarios que participen en el mismo canal que el usuario infectado. Si WINZIP32.EXE no existe en el sistema infectado, las instrucciones del SCRIPT.INI fallarán.

Para su propagación por e-mail, genera una versión de sí mismo codificada en base64, que se escribe en el directorio raíz como MSBOOTLOG.SYS. Las direcciones de e-mail las reúne del fichero *.HTML del directorio de Archivos Temporales de Internet y subdirectorios. El gusano intenta enviarse a todas la direcciones que encuentra.

El código de w32/Pepex busca cual es el directorio de transferencia de kaZaa y crea copias de sí mismo en dicha carpeta, utilizando estos nombres:

· icq2002.exe

· wincrack.exe

· winamp.exe

· mirc6.exe

Tras infectar un sistema, se crea la siguiente clave de registro:

 

HKEY_LOCAL_MACHINE\Software\RedCell\infected=yes

Es posible proceder con la detección y eliminación de W32/Pepex.a haciendo uso de DATS y motor arriba indicados.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Septiembre de 2002

Anterior