Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Gruel.M@MM

Alias:
WIN32/GRUEL.M (Enciclopedia Virus (Ontinent)), W32/Gruel-M (Sophos)

Descripción:
Una variante más de la familia de gusanos "Gruel". Se propaga a través del correo electrónico y redes de intercambio de archivos entre usuarios. Contiene varias rutinas maliciosas, con las que puede cambiar las contraseñas del usuario, ocultar el disco C, borrar archivos y realizar numerosas modificaciones en el registro de Windows que obligan a su reinstalación.

Detalles:
El gusano realiza las siguients acciones:

  • Se envía masivamente a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
  • Borra archivos del sistema.
  • Abre múltiples instancias del Panel de Control de Windows, causando el bloqueo de Windows.
  • Hace que el disco C no sea visible desde Windows.
  • Cambia el acceso a los archivos ejecutables.
  • Compromete la seguridad al cambiar en forma randómicas, las contraseñas del usuario infectado.
  • Se propaga también a través de redes de intercambio de archivos.

Cuando se ejecuta el gusano intenta borrar los siguientes archivos:

  • C:\Autoexec.bat
  • C:\Config.sys
  • C:\WINNT\System32\*.dll
  • C:\WINNT\System32\Ntoskrnl.exe
  • C:\WINNT\System32\Command.com
  • C:\WINNT\Regedit.exe
  • C:\Windows\System32\Ntoskrnl.exe
  • C:\Windows\System32\Command.com
  • C:\Windows\Regedit.exe
  • C:\WINNT\System32\*.exe
  • C:\WINNT\System32\*.com
  • C:\WINNT\System32\*.ocx
  • C:\Windows\System32\*.dll
  • C:\Windows\System32\*.ocx
  • C:\Windows\System32\*.exe
  • C:\Windows\System32\*.com
Luego se copia a si mismo en el archivo "C:\Rundll32.exe", con los atributos de oculto y de sistema.

También se copia en la carpeta compartida por defecto del KaZaa:

C:\windows\Program Files\Kazaa\My Shared Folder\Windows XP KeyGen 2.5.exe

Cambia los siguientes valores del registro: 

 HKEY_CLASSES_ROOT\exefile\shell\open\command
 HKEY_CLASSES_ROOT\comfile\shell\open\command
 HKEY_CLASSES_ROOT\batfile\shell\open\command
 HKEY_CLASSES_ROOT\piffile\shell\open\command
 HKEY_CLASSES_ROOT\htafile\shell\open\command
 HKEY_CLASSES_ROOT\htfile\shell\open\command

En todos ellos se agrega como: 

(predeterminado) = [archivo del gusano] %1

Como resultado, al abrirse archivos con extensión .EXE, .COM, .BAT, .PIF, .HTA y .HT, se ejecuta el gusano.

Cambia también los siguientes valores del registro: 

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  MediaPath = [nombre del archivo del gusano]

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  Rundll32.exe = [nombre del archivo del gusano]

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX
  DevicePath = [nombre del archivo del gusano]

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SETUP
  NetCache = [nombre del archivo del gusano]

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
  ProxyDevice = [nombre del archivo del gusano]

  HKCU\Software\kIlLeRgUaTe 1.03

  HKCU\Software\VB and VBA Program Settings\Killerguate

  HKCU\Software\Microsoft\Internet Explorer\Main
  Window Title =
  kIlLeRgUaTe 1.03, I mAke ThIs vIrUs
  BeCaUsE I dOn"T hAvE NoThInG tO dO!!

Con esta última entrada, modifica el título de la ventana del Internet Explorer.

Cuando se ejecuta, muestra un mensaje falso advirtiendo que Windows ha encontrado un error y le pregunta al usuario si quiere enviar los datos de dicho error a Microsoft. Existen dos botones:

[ Send Error ] y [ Send and Close ]

Si se pulsa en [Send Error], otro mensaje de error es mostrado, mientras el gusano se envía por correo a todas los contactos que aparezcan en la Libreta de direcciones de Outlook. Si se intenta cancelar dicho mensaje, el mismo se vuelve a repetir. Si se pincha en el botón [Back], retorna el primer mensaje falso con los botones [Send Error] y [Send and Close].

Si se pincha en [Send and Close], se producen las siguientes acciones:

  • Se abren múltiples ventanas del Panel de Control.
  • Se abre la bandeja del CD-Rom.
  • Un mensaje del autor del gusano es mostrado, y el mismo no puede ser movido ni cerrado.
  • Se deshabilita la bandeja del sistema (System Tray).
  • Desaparece la barra de tareas.
  • El disco C ya no es visible y desaparecen todos sus iconos.

Solo permanecen las ventanas abiertas. Los mensajes generados por el propio gusano quedan obscurecidos.

Cuando se ejecuta, el gusano envía mensajes como los siguientes:

Asunto: Symantec: New Serious Virus found
Fichero Adjunto: Rundll32.exe
Cuerpo del mensaje: Norton Security Response: has detected a new virus
in the Internet. For this reason we made this tool attachement, to protect your computer from this serious virus. Due to the number of submissions received from customers, Symantec Security Response has upgraded this threat to a Category 5 (Maximum)

Solución:

Si el gusano se ha ejecutado, será imposible reiniciar Windows. El daño dependerá de algunas acciones realizadas por el usuario, y de la versión de Windows instalada. Sin embargo, la gran cantidad de cambios en el sistema y el borrado de archivos, solo dejará como alternativa la recuperación desde un sistema de respaldo total, o la reinstalación de Windows y sus programas.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados