|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es |
Virus de propagación media que simula ser una actualización de Microsoft. Desactiva el proceso residente del antivirus e impide ejecutar Regedit.
Nombre de virus: W32/Swen@MM
Alias conocidos: I-Worm.Swen, W32/Gibe.e@MM, W32/Swan
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por email, P2P, IRC y comparticiones de red.
Activación: Por
ejecución de fichero .EXE
Detección: desde
DATS 4294
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)
Se trata de un gusano, que propaga por diferentes medios:
- A través de correo electrónico, utilizando un motor SMTP propio,
tras recopilar direcciones de correo de la máquina infectada.
- A través de recursos de red compartidos (unidades mapeadas)
- Por la red Kazaa P2P.
- Por chat (IRC).
El código del virus está escrito en MSVC, y tiene similitudes con el del virus w32/Gibe.b@MM.
La ejecución del virus provoca que terminen de la memoria diferentes procesos de programas de seguridad y antivirus.
Método de infección
Cuando se ejecuta el virus, este muestra una serie de cajas de mensaje falsas:
El gusano se instala (utilizando un nombre de fichero aleatorio) en %WinDir%, y añade una clave de registro para el inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "(cadena aleatoria)" = nombre_aleatorio autorun
Asimismo, modifica una serie de claves de registro para interceptar la ejecución de diversos tipos de fichero: BAT , COM , EXE , PIF, REG, SCR
También genera los siguientes ficheros:
· %WinDir%\GERMS0.DBV - direcciones de correo electrónico recopiladas en el equipo infectado -
· %WinDir%\SWEN1.DAT - lista de servidores remotos
Puede generar otros ficheros aleatorios en %WinDir% - un script batch (aprox 50 bytes) para iniciar una copia del gusano, y un fichero de configuración (aprox 100-150 bytes) conteniendo los datos de ruta/nombre de fichero.
Igualmente, configura la siguiente clave de registro para evitar que se ejecute el Editor de Registro de Sistema (RegEdit) en la máquina infectada:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "DisableRegistryTools" = 01 00 00 00
Propagación por correo electrónico
Uno de los mensajes que envía, se enmascara como una actualización de Microsoft:
Cabe recordar que Microsoft NUNCA envía actualizaciones de sus productos por e-mail !!
Propagación por recursos de red
Acostumbra a copiarse en la carpeta de inicio de unidades mapeadas, con un nombre aleatorio. Los siguientes son destinos posibles:
· windows\all users\start menu\programs\startup
· windows\start menu\programs\startup
· winme\all users\start menu\programs\startup
· winme\start menu\programs\startup
· win95\all users\start menu\programs\startup
· win95\start menu\programs\startup
· win98\all users\start menu\programs\startup
· win98\start menu\programs\startup
· document and settings\all users\start menu\programs\startup
· document and settings\default user\start menu\programs\startup
· document and settings\administrator\start menu\programs\startup
· winnt\profiles\all users\start menu\programs\startup
· winnt\profiles\default user\start menu\programs\startup
· winnt\profiles\administrator\start menu\programs\startup
Propagación por IRC
El gusano genera un fichero SCRIPT.INI (123 bytes) en la carpeta de programa mIRC, en un intento de propagar via IRC (por medio del comando dcc send).
Propagación por P2P
El gusano realiza copias de sí mismo en un directorio ( de nombre aleatorio) dentro del directorio temporal del sistema
Modifica la siguiente clave de registro para compartir estas copias a través de la red KaZaa P2P:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir99" = 012345:C:\WINDOWS\TEMP\(nombre de directorio aleatorio)
Detección y eliminación
El gusano se controla desde los DAT
4294 , para su eliminación se recomienda ejecutar
nuestra utilidad ELISWENA .
La utilidad ELISWENA.EXE, en condiciones normales (esto es, sin que el usuario haya intentado eliminar el virus), restaurará el acceso al registro y las claves de ejecutables, eliminará procesos víricos en memoria, y eliminará el gusano y las copias de los mismos en carpetas P2P.
Pero si el usuario ha borrado el gusano, este le será requerido al intentar ejecutar la utilidad. Entonces se debe renombrar el fichero ELISWENA.EXE por el nombre del gusano no encontrado, y copiarlo en la carpeta del directorio de windows. Con ello, la nueva ejecución llamará al supuesto gusano, que será el eliminador, y "se suicidará". Es un método que ya usamos en su día con otros virus que tocaban la clave de los EXEFILES.
Con ello se debe solucionar el problema. Evidentemente, si se trata de una red, habiendo desconectado los ordenadores de la red y aplicando este proceso a cada una de las máquinas.
SATINFO, VIRUSCAN SPAIN SERVICE 19 de Septiembre de 2003