Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Gruel.E@P2P+MM

Alias:
W32/Gruel.E (Panda Software)

Descripción:
Es un gusano que intenta eliminar ficheros fundamentales de Windows. Se propaga a través del correo electrónico y del programa de compartir ficheros Kazaa.

Además tiene efectos molestos: Abre varias ventanas del panel de control, abre y cierra la bandeja de la unidad de CD-ROM, desactiva la barra de tareas, oculta la unidad C:, muestra mensajes por pantalla, etc.

Detalles:
Gruel.E realiza las siguientes acciones en el ordenador infectado:

  • Intenta eliminar numerosos ficheros fundamentales para su correcto funcionamiento.
  • Oculta la unidad C:, impidiendo que se vea tanto la unidad como su contenido desde el Explorador de Windows.
  • Desactiva la Barra de tareas, con lo que desaparece del escritorio.
  • Impide realizar búsquedas de ficheros.
  • Impide ejecutar programas o abrir ficheros desde el menú Inicio > Ejecutar.
  • Cambia el título de la ventana del navegador Internet Explorer al valor:

kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE I dOn'T hAvE NoThInG tO dO!!

  • Abre varias ventanas del Panel de control.
  • Abre la bandeja de la unidad de CD-ROM.

Metodo de Infección

Gruel.E crea el fichero C:\ROOT.EXE. Es una copia del gusano con atributo de fichero oculto.

Gruel.E intenta borrar los siguientes ficheros:

  • AUTOEXEC.BAT y CONFIG.SYS del directorio raíz de la unidad C:
  • REGEDIT.EXE del directorio de Windows.
  • NAVW32.EXE de la carpeta Program files, dentro del directorio de Windows.

También intenta borrar los siguientes directorios y todo su contenido:

  • SYSTEM32 , donde se encuentra el directorio de sistema de Windows.
  • C:\INETPUB\WWWROOT, directorio por defecto en que en los servidores web IIS almacenan las páginas web.
Gruel.E crea las siguientes entradas en el Registro de Windows, con diferente valor dependiendo de si se ha reiniciado o no: 
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
HKEY_CLASSES_ROOT\ htafile\ shell\ open\ command
HKEY_CLASSES_ROOT\ htfile\ shell\ open\ command
Cuando se ejecuta por primera vez, con el valor [Nombre del fichero del gusano] %1 donde [Nombre del fichero del gusano] es el nombre del fichero con el que entró el gusano en el sistema.

Y el resto de veces, tras reiniciar el sistema, C:\ RUNDLL32.EXE %1.

Mediante estas entradas, el gusano consigue activarse cada vez que se ejecute un fichero de extensión EXE, COM, BAT, PIF, HTA o de tipo HyperTerminal de Windows. Además, si se borra el fichero del gusano, se impide la ejecución de dicho tipo de programas. Gruel.E establece las siguientes entradas en el Registro de Windows para ejecutarse cada vez que se inicie Windows: 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\
CurrentVersion\ Run MediaPath=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\
CurrentVersion\ RunOnceEX DevicePath=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\
CurrentVersion\ SETUP NetCache=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\
CurrentVersion\ ProxyDevice=
Todas ellas con valor [Nombre del fichero del gusano] %1C:\ ROOT.EXE %1 el resto de las veces, tras reiniciar el sistema. 
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\
CurrentVersion\ RunOnce
"Rundll32.exe"="C:\ Root.exe"

Gruel.E también crea las siguientes entradas: 

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\
CurrentVersion\ Policies\ Explorer
 "NoDrives" 4
Mediante esta entrada, consigue ocultar la unidad C: 
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\
CurrentVersion\ Policies\ Explorer
 "NoFind" 1
Al establecer este valor no permite realizar búsquedas de ficheros. 
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\
CurrentVersion\ Policies\ Explorer
 "NoRun" 1
Mediante este entrada impide que se puedan ejecutar programas o abrir ficheros desde el menú Inicio>Ejecutar. 
HKEY_CURRENT_USER\ Software\ kIlLeRgUaTe 1.03
“AppPath”= “Nombre del fichero del gusano” %1
“FirstRun”= NO
“Password”=” “

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\
KILLERGUATE\ KILLERGUATE "alt" Ö

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\
KILLERGUATE\ KILLERGUATE "now" “fecha de hoy”

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\
KILLERGUATE\ KILLERGUATE
"reg" mov ax,@data 0001 0110 0000 0111 1001 0100 = 160794h BIN 1111 0101 
1010 0010

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\
KILLERGUATE\ KILLERGUATE
"st" moreNumbers dw 2,1,2,5,5,6,3,2

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\
KILLERGUATE\ KILLERGUATE
"start" “fecha en la que se ejecuto el virus”
Gruel.E modifica la siguiente entrada del Registro de Windows: 
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
"Window Title" kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE I dOn'T 
hAvE NoThInG tO dO!!
Así consigue modificar el título de la ventana del navegador Internet Explorer.

Método de Propagación

Gruel.E se propaga a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA.

  1. Propagación a través del correo electrónico.

    Inicialmente, el autor de Gruel.E envió un mensaje de correo masivo con las siguientes características: 

    Remitente:
Microsoft Corporation [products@microsoft.com]
Asunto:
Free Office XP Trial.
Contenido:
Microsoft Office XP Evaluation Copy.
Quick Info of Microsoft Office XP Evaluation Copy.
File Name:        OfficeXpTrial.exe
Download Size:  102 KB - 364237 MB
Date Published:  3/26/2003
Version: XP Proffesional.
System Requirements
Supported Operating Systems: Windows 2000, 
Windows 98, Windows ME, Windows XP

Instructions
Click the Download link of the attachment to start
the download. (102KB)
Do one of the following:
To start the installation immediately, click Open or 
Run this program from its current location.
Then the Download will start download the Full version 
of Office XP (364237 MB)
Microsoft Corporation.
Fichero adjunto:
OFFICEXPTRIAL.EXE
    Al abrir el fichero adjunto, el ordenador quedará infectado. El gusano manda entonces una copia de sí mismo a todos los contactos que aparezcan en la Libreta de direcciones de Outlook, en un mensaje con las siguientes características: 
    Asunto:
Symantec: New Serious Virus found
Contenido:
Norton Security Response: has detected a new virus 
in the Internet. For this reason we made this tool 
attachement, to protect your computer from this 
serious virus. Due to the number of submissions 
received from customers, Symantec Security 
Response has upgraded this threat to a Category 
5 (Maximum)
Fichero adjunto:
OFFICEXPTRIAL.EXE
  2. Propagación a través de KaZaA.

    El gusano crea copias de sí mismo en el directorio compartido del programa de intercambio de ficheros P2P (Peer to Peer, entre pares) KaZaA con el nombre MATRIX RELOADED 2 AVI.EXE Otros usuarios de este programa podrán acceder de manera remota a dicho directorio compartido. Así, se descargarán voluntariamente en su ordenador el fichero creado por Gruel.E, pensando que se trata de una película. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Gruel.E.

Otros Detalles
Este virus ha sido escrito en el lenguaje de programación Visual Basic 6.0. El fichero que realiza la infección tiene un tamaño de 102400 Bytes.

Solución:

Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados