Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

W32/MuLti-InFecTor

MuLti-InFecTor es un sofisticado virus reportado el 05 de Julio del 2003, que se propaga a través de páginas web infectadas aprovechando una vulnerabilidad recientemente reportada por Microsoft, que permite al virus ser descargado y ejecutado en forma automática. 

Esta vulnerabilidad afecta a Microsoft Internet Explorer 5.01, 5.5, y 6.0 

El virus MuLti-InFecTor hace honor a su nombre ya que es extremadamente infeccioso, deshabilita el REGEDIT y al siguiente re-inicio lo borra, conjuntamente con otras importantes herramientas del sistema, para después infectar archivos de múltiples extensiones, las mismas que pueden extenderse a Redes con recursos compartidos. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic y requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecte.

Tiene una extensión de 41 KB y está comprimido con el utilitario PEtite Win32 Executable Compressor:

http://www.un4seen.com/petite

Ha sido creado en Perú por MachineDramon, bajo la inspiración de Falckon, de México, ambos miembros del grupo internacional de creadores de virus GEDZAC 2003.

La muestra obtenida fue enviada desde España (+2 GMT).

Al ejecutar el archivo infectado, el gusano se auto-copia a las siguientes carpetas con los nombres:

  • %System%\jniwxaF.pif
  • %System%\Multi-Infect.dll
  • %System%\tMtRCrI.pif
  • %tmp%\Extrac.com
  • %tmp%\TempFile.bat
  • %tmp%\Template.xls.scr
  • %tmp%\WCompress.scr
  • %tmp%\WinCs.scr
  • %tmp%\WinX.scr

Para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"W32Load" = "%System%\jniwxaF.pif"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%tmp% es la variable C:\Windows\Temp para Windows 95/98/Me y C:\Documents and Settings\[nombre_ del usuario]\Local Settings\Temp para Windows NT/XP/2000/2003.

Una vez activado el gusano, deshabilita el Editor de Registro REGEDIT.EXE, con la finalidad de evitar su detección y/o la reparación manual, para ello crea la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System]
"DisableRegistryTools" = "dword:00000001"

Este proceso es efectuado en la primera infección, ya que en el siguiente reinicio el gusano eliminará los siguientes archivos del sistema:

  • REGEDIT.EXE
  • MSCONFIG.EXE
  • DRWATSON.EXE
  • SFC.EXE

REGEDIT.EXE (Registro de Windows) presenta de forma jerarquizada toda la información que Windows y el resto de las aplicaciones escriben en él.

MSCONFIG.EXE (Utilidad de Configuración del Sistema de Microsoft) permite solucionar problemas de errores de configuración de Windows 98 y Windows 98 Segunda Edición.

DRWATSON.EXE (Dr. Watson), utilidad que permite detectar cada vez que se produce una fallo de software (error de protección general, bloqueo, etc.) e indica el archivo fallado y sus motivos.

SFC.EXE (System File Checker) es una herramienta del sistema que permite actualizar y recuperar archivos del sistema.

Una vez deshabilitadas estas utilidades, el virus buscará e infectará los archivos con las siguientes extensiones:

  • .exe
  • .scr
  • .doc
  • .xls
  • .ppt
  • .html
  • .htm
  • .php
  • .asp
  • .shtml
  • .shtm
  • .phtml
  • .phtm
  • .plg
  • .htx
  • .mht
  • .mhtml
  • .vbs
  • .vbe
  • .zip
  • .rar

Los días 26 de cada mes se muestran aleatoriamente estas cajas de diálogo:

El parche para esta vulnerabilidad del Internet Explorer se puede descargar desde:

http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

Sus payloads son los siguientes:

  • Se propaga a través de páginas web infectadas aprovechando una vulnerabilidad recientemente reportada por Microsoft.
  • Deshabilita el REGEDIT.EXE (Editor del registro de Windows) en el primer re-inicio.
  • Al siguiente re-inicio borra este archivo, además de otras importantes herramientas del sistema.
  • Infecta archivos PE, agregando su código viral al inicio de los mismos.
  • Infecta archivos de diversas extensiones.
  • Si encuentra un archivo con recurso compartido el proceso de infección se extenderá a toda las unidades de Red que compartan esos recursos.
  • Deshabilita la seguridad en Microsoft Word y Excel.
  • Encripta el contenido de los archivos HTM, HTML y VBS, haciéndolos irrecuperables.
  • Los días 26 de cada mes se muestran en forma aleatoria 3 cajas de diálogo.
  • Después de su desinfección, será necesario re-instalar el sistema operativo. 

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados