Avís de seguretat: W32/Gonner@MM

Última Modificació del Document
5 de desembre de 2001

Resum		Valoració
W32/Goner@MM és un nou cuc d'alt risc. La infecció de la víctima consisteix en desactivar el programa antivíric i el tallafocs personal.		Impacte
		Severitat
		Urgència
Sistemes afectats
Per a la distribució, utilitza el Microsoft Outlook i l'ICQ. A nivell d'infecció afecta als sistemes que fan servir el sistema operatiu Microsoft Windows
Data publicació avís		ID a CVE
05-12-2001 10:30
Data modificació avís		Utilització remota
05-12-2001 15:00		No
Versió de l'avís		Obtenció privilegis administrador
2		No

Actualització 15:00
	Butlletí del servei “Una per dia” amb informació tècnica del cuc.

Introducció

W32/Goner@MM és un nou cuc que es distribueix pel correu electrònic i que comporta un alt risc. Per a la distribució fa servir el Microsoft Outlook i Outlook Express, així com el sistema de missatgeria electrònica ICQ.

Missatge d'infecció

El cuc arriba a traves d'un missatge amb les següents característiques:

Tema:
Hi
Cos:
How are you ?
When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!
Fitxer associat:
GONE.SCR

La part associada del fitxer té un comportament ALTAMENT DESTRUCTIU. Quan s'executa el fitxer associat, comprova l'existència de diversos programes antivírics, tallafocs i d'altres sistemes de seguretat i prova d'esborrar-los (incloent tots els fitxers presents al mateix directori).

El cuc també instal·la un troià a l'ordinador REMOTE32.INI que conté instruccions per a la realització d'atacs de denegació de servei contra els usuaris d'IRC.

Com funciona

El fitxer associat al missatge ha de ser executat de forma manual per l'usuari. En el moment de la seva execució, el cuc es copia al disc dur de l'usuari i modifica el registre del sistema per tal d'executar-se automàticament cada vegada que s'inicia el sistema. Per fer això crea l'entrada:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\%System%\gone.src => %System%\gone.scr

La següent acció es provar de desactivar els sistemes antivírics i tallafocs personals. Aparentment, la relació de fitxers associats a aquest programa es la utilitzada pel cuc I-Worm.fog (per a més informació sobre aquest cuc podeu consultar http://www.avp.ch/avpve/worms/email/fog.stm).

La desactivació consisteix en esborrar els següents fitxers executables:

IAMAPP.EXE
AtGuard Personal Firewall
IAMSERV.EXE
AtGuard Personal Firewall

APLICA32.EXE
Desconegut

ZONEALARM.EXE
ZoneAlarm

ESAFE.EXE
eSafe

CFIADMIN.EXE
ConSeal PC Firewall
CFIAUDIT.EXE
ConSeal PC Firewall
CFINET.EXE
ConSeal PC FIrewall
CFINET32.EXE
ConSeal PC Firewall
PCFWallIcon.EXE
ConSeal PC FIrewall
FRW.EXE
ConSeal PC FIrewall

NAVAPW32.EXE
Norton Antivirus
NAVW32.EXE
Norton Antivirus

_AVP32.EXE
AVP Scanner
_AVPCC.EXE
AVP Control Centre Application
_AVPM.EXE
AVP Monitor
AVP32.EXE
AVP Scanner
AVPCC.EXE
AVP Contgrol Centre Application
AVPM.EXE
AVP Monitor
AVP.EXE
AntiViral Toolkit Pro (AVP)

LOCKDOWN2000.EXE
LockDown 2000

ICMON.EXE
Sophos Antivirus Monitor
ICLOAD95.EXE
Sophos Antivirus
ICSUPP95.EXE
Sophos Antivirus
ICLOADNT.EXE
Sophos Antivirus
ICSUPPNT.EXE
Sophos Antivirus

TDS2-98.EXE
Trojan Defense Suite
TDS2-NT.EXE
Trojan Defense Suite

Recomenacions

En primer lloc, actualitzar els programes antivírics amb la nova versió dels fitxers de signatures i verificar la presència de virus al sistema.

A nivell d'administració de xarxa, s'aconsella bloquejar el tràfic ICQ d'entrada per tal de prevenir la propagació. ICQ utilitza el protocol 5190/tcp.

Eliminació manual

Esborrar l'entrada de registre
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\%System%\gone.scr => %System%\gone.scr
Esborrar el fitxer GONE.SCR del sistema. En funció de la versió del sistema operatiu es pot trobar a \WINDOWS\SYSTEM o bé a \WINNT\SYSTEM32

Contacte: info@quands.com