quands.com: Una Noticia per Dia (04-12-01): Un nou cuc de propagació massiva (W32)

Última Modificació del Document
5 de desembre de 2001

Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

4 de desembre de 2001 - Un nou cuc de propagació massiva (W32/Goner)

S'ha detectat un nou cuc que, sota el nom de Goner, s'està propagant actualment molt ràpidament. Aquest nou cuc es distribueix a traves del correu electrònic i la xarxa ICQ en forma de desapantalles.

Aquest nou cuc, que ha estat batejat com a Gone, Goner o Pentagone, infecta als lectors de correu de Microsoft, Outlook i Outlook Express, a través de la distribució d'un fitxer amb el nom GONE.SCR. Al contrari que els últims virus (com BadTrans) que són capaços d'executar-se de forma automàtica --la qual cosa els hi ha donat un major índex de propagació--, Goner ha de ser executat de forma manual per l'usuari per tal de permetre la seva reproducció.

Així es presenta...

El cos i l'assumpte dels missatges infectats són idèntics en tots els casos, el que ha de facilitar la seva detecció. Un cop infectat l'ordinador, i com ja és habitual, el cuc envia una còpia d'ell mateix a tots els contactes existents dins la llista d'adreces de l'usuari infectat.

El cuc es presenta amb el següent aspecte:

Assumpte: Hi

Text del missatge:
  How are you ?
  When I saw this screen saver, I immediately
  thought about you I am in a harry, I promise
  you will love it!

Fitxer associat: GONE.SCR

Què fa?

Quan s'executa el fitxer associat GONE.SCR, es copia al directori %System%\GONE.SCR. Per tal de fer que aquest fitxer s'executi automàticament cada vegada que s'inicia Windows es crea aquesta clau al registre:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\%System%\gone.scr =
%System%\gone.scr

El cuc té la capacitat de propagar-se a traves de la xarxa de missatgeria instantània ICQ si està instal·lada a l'ordinador infectat. Goner fa ús de la biblioteca ICQMAPI.DLL d'ICQ per tal d'enviar còpies d'ell mateix a tots els contactes que estiguin connectats. Malgrat realitzar l'enviament, el receptor haurà d'aprovar la seva recepció i, posteriorment, executar el fitxer per tal d'infectar el seu sistema.

Goner també inclou una porta secreta per tal d'infectar els clients mIRC d'IRC, amb l'objectiu de realitzar atacs de denegació de servei dins d'aquesta xarxa. Per aquest propòsit crearà el fitxer REMOTE.INI amb un script que s'iniciarà cada vegada que s'executi el mIRC. Gràcies a aquest script, l'autor podrà realitzar atacs de Denegació de Servei (DoS) contra els canals IRC on estigui connectat l'usuari infectat.

El cuc inclou un component destructiu ja que intenta desactivar alguns programes antivírics o tallafocs personals instal·lats. Per això tractarà d'esborrar aquests fitxers:

IAMAPP.EXE de AtGuard Personal Firewall
IAMSERV.EXE de AtGuard Personal Firewall
APLICA32.EXE
ZONEALARM.EXE de ZoneLabs ZoneAlarm
ESAFE.EXE de eSafe, Aladdin Knowledge Systems
CFIADMIN.EXE de ConSeal PC Firewall
CFIAUDIT.EXE de ConSeal PC Firewall
CFINET.EXE de ConSeal PC Firewall
CFINET32.EXE de ConSeal PC Firewall
PCFWallIcon.EXE de ConSeal PC Firewall
FRW.EXE de ConSeal PC Firewall
VSHWIN32.EXE de McAfee VirusScan
VSECOMR.EXE de McAfee VirusScan
WEBSCANX.EXE de McAfee VirusScan
AVCONSOL.EXE de McAfee VirusScan
VSSTAT.EXE de McAfee VirusScan
NAVAPW32.EXE de Norton AntiVirus
NAVW32.EXE de Norton AntiVirus
_AVP32.EXE de AVP Scanner
_AVPCC.EXE de AVP
_AVPM.EXE de AVP Monitor
AVP32.EXE de AVP Scannee
AVPCC.EXE de AVP
AVPM.EXE de AVP Monitor
AVP.EXE de AntiViral Toolkit Pro (AVP)
LOCKDOWN2000.EXE de LockDown 2000B
ICMON.EXE de Sophos Antivirus Monitor
ICLOAD95.EXE de Sophos Antivirus per a Windows 95
ICSUPP95.EXE de Sophos Antivirus per a Windows 95
ICLOADNT.EXE de Likely Sophos Antivirus per a Windows NT
ICSUPPNT.EXE de Likely Sophos Antivirus per a Windows NT
TDS2-98.EXE de TDS-2 Trojan Defense Suite
TDS2-NT.EXE de TDS-2 Trojan Defense Suite
SAFEWEB.EXE de Safeweb

Si el cuc determina que algun d'aquests fitxers està carregat a la memòria, finalitzarà la seva execució i esborrarà tots els fitxers presents al directori on estigui aquest fitxer. Això li permetrà inutilitzar aplicacions com ZoneAlarm, VirusScan o AVP.

Com eliminar-lo...

Un cop més, recordem la norma d'or: "No obrir cap fitxer associat a un missatge que no hàgim demanat". A continuació, recomanem actualitzar el nostre programa antivíric.

Per a eliminar el cuc del sistema, cal en primer lloc esborrar la clau del registre creada per Goner:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\%System%\gone.scr =
%System%\gone.scr

També cal esborrar el fitxer GONE.SCR del sistema que, depenent del sistema operatiu es pot trobar a\WINDOWS\system\ o bé a \WINNT\system32\

Més informació

ISS X-Force Database
http://xforce.iss.net/static/7638.php

F-Secure
http://www.f-secure.com/v-descs/goner.shtml

Panda Software
http://service.pandasoftware.es/enciclopedia/
fichaVirus.jsp?Virus=W32/Goner.A@mm

Norman
http://www.norman.no/virus_info/w32_goner_a_mm.shtml

McAfee
http://www.mcafee.com/anti-virus/viruses/goner/?cid=2639

Sophos
http://www.sophos.com/virusinfo/analyses/w32gonera.html

TrendMicro
http://www.antivirus.com/vinfo/virusencyclo/
default5.asp?VName=WORM_GONE.A

Symantec
http://securityresponse.symantec.com/avcenter/venc/
data/w32.goner.a@mm.html

Antonio Ropero
antonior@hispasec.com

Contacte: info@quands.com