Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

W32/Alanis@mm, I.worm.alanis@mm

Alanis es un gusano reportado el 11 de Noviembre del 2003, de propagación masiva a través de mensajes de correo con Asuntos aleatorios, Contenido en blanco y el archivo Anexado Alanis.exe. Se difunde además vía el ICQ, las redes Peer to Peer Kazaa, Grokster, Morpheus, edonkey2000, WinMX y de MSN Messenger. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Microsoft Visual Basic 6.0, tiene 22 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Ha sido creado en Perú por DemionKlaz, miembro del grupo internacional de creadores de virus GEDZAC 2003. 

Usa Remitentes extraídos de la Libreta de Direcciones de MS Outlook y MSN Messenger y haciendo uso de la técnica Email spoofing, en forma aleatoria emplea la dirección de su autor. 

Los mensajes tienen las siguientes características:

Remitente, direcciones extraídas del sistema o alternativamente demionklaz@hotmail.com

Asunto, cualquiera de los siguientes:

  • hay te envio el video que me pediste ta buenazo
  • este es el video verdad espero que sea de tu agrado
  • espero que te guste a mi me gsuto :p
  • el grupo esta buenazo muy buen video
  • Baile paso a paso aprendera a bailar rapido
  • Nuevos pasos viva la musica
  • espero que te guste los nuevos pasos
  • trancebaile

Contenido: en blanco

Anexado: Alanis.exe

Al ejecutar el archivo anexado el gusano se auto-copia al directorio %Windir%, a la carpeta %System% y al directorio raíz de C:\ con los siguientes nombres:

  • Cleanmgr.mcg
  • freesoft.avi.scr
  • mope.scr
  • kerneldll32.api
  • molani.scr
  • alanis morri.mcg
  • avril lavig.mcg
  • picsXXX.mcg
  • piratas.mcg
  • termi.mcg
  • destino2.mcg
  • seaevil.mcg
  • paMXX.mcg
  • evange.mcg
  • saint.mcg
  • ova13.mcg
  • metalica.mcg

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"w32alanis" = "%System%\mope.scr"

El gusano también modifica el archivo SYSTEM.INI para activarse al reiniciarse en Windows 95/98:

SYSTEM.INI
[windows]
shell = explorer.exe %Windir%\Cleanmgr.mcg

Una vez activado el gusano, deshabilita el Editor de Registro REGEDIT.EXE, con la finalidad de evitar su detección y/o la reparación manual, para lo cual crea la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

Asimismo, cada 3 minutos intenta copiarse a la unidad A:\, con uno de los siguientes nombres:

  • RING.EXE
  • PIRATAS.SCR
  • BADBOYS!!.SCR
  • AXEBAH.EXE 

El gusano crea además en el directorio raíz de C:\ y en C:\Mis documentos los archivos:

  • pamelaXXX.html
  • evan.html
  • alanis.html
  • avril.html
  • nemo.html

El Javascript de este archivos HTML copia en primer lugar, el archivo Alanis.exe incrustado en su código a un archivo temporal y seguidamente lo ejecuta.

El gusano aprovecha una vulnerabilidad de Internet Explorer que permite que a través de un Javascript, dentro de un archivo HTML se obtenga el acceso a los archivos del disco sin ningún mensaje de advertencia.

Las primeras líneas de los archivo .HTML, contienen el siguiente texto en su cabecera:

MIME-Version: 1.0
Content-Location:file:///alanis.exe
Content-Transfer-Encoding: base64

Los programas afectados por esta vulnerabilidad, son los siguientes:

  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0

El parche para esta vulnerabilidad puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS03-014.asp

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas: 

  • C:\Archivos de programa\Grokster\My Grokster\
  • C:\Archivos de programa\WinMX\My Shared Folder\
  • C:\Archivos de programa\WinMX\My Shared Folder\
  • C:\Archivos de programa\KaZaA\My Shared Folder\
  • C:\Archivos de programa\KaZaA\My Shared Folder\
  • C:\Archivos de programa\Grokster\My Grokster\
  • C:\Archivos de programa\Morpheus\My Shared Folder\
  • C:\Archivos de programa\Morpheus\My Shared Folder\
  • C:\Archivos de programa\ICQ\shared files\
  • C:\Archivos de programa\Edonkey2000\incoming\
  • C:\Archivos de programa\Edonkey2000\incoming\
  • C:\Archivos de programa\KaZaA Lite\My Shared Folder\
  • C:\Archivos de programa\KaZaA Lite\My Shared Folder\ 

Con los los siguientes nombres de archivos:

  • freesoft.avi.scr
  • mope.scr
  • molani.scr
  • RING.EXE
  • PIRATAS.SCR
  • BADBOYS!!.SCR
  • AXEBAH.EXE 

Finalmente el gusano copia la siguiente figura usando caracteres ASCII en C:\tazmania.txt

demionklaz@hotmail.com

, .-'"'=;_ ,
|\.'-~`-.`-`;/|
\.` '.'~-.` './
(\`,__=-'__,'/)
_.-'-.( d\_/b ).-'-._
/'.-' ' .---. ' '-.`\
/' .' (= (_) =) '. `\
/' .', `-.__.-.__.-' ,'. `\
( .'. V V ; '. )
( |:: `-,__.-.__,-' ::| )
| /|`:. .:'|\ |
| / | `:. :' |`\ |
| | ( :. .: ) | |
| | ( `:. :' ) | |
| | \ :. .: / | |
| | \`:. .:'/ | |
) ( `\`:. .:'/' ) (
( `)_ ) `:._.:' ( _(` )
\ ' _) .' `. (_ ` /
\ '_) / .'"```"'. \ (_` /
`'"` \ ( ) / `"'`
___ `.`. .'.' ___
.` ``""" '''--`_) (_'--'''"""`` `.
(_(_(___...--'" '` `'"'--...___)_)_)
[DemionKlaz]..................[DK]

Los payloads de este gusano son:

  • Se propaga masivamente en mensajes de correo, redes de archivos compartidos Peer to Peer, el ICQ y MSN Messenger. 
  • Usa Remitentes extraídos de la Libreta de Direcciones de MS Outlook y MSN Messenger.
  • Aleatoriamente hace uso de la técnica Spoofing y emplea la dirección del autor como Remitente.
  • Ha sido desarrollado en Perú por un miembro del grupo de hackers internacionales GEDZAC.
  • Infecta a través de la mayoría de redes Peer to Peer.
  • Se propaga además a través del ICQ.
  • Aprovecha una vulnerabilidad de MS Internet Explorer y MS Outlook. 
  • Puede acceder a archivos de unidades de disco del sistema infectado.

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados