GUSANO

W32/Explorer

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

A comienzos de abril de 2002 aparecía un nuevo gusano de propagación masiva a través de correo electrónico con capacidad para introducirse en otros equipos a través de un servidor y una página web que crea en el equipo atacado.

En esta ocasión y curiosamente, ni las compañías desarrolladoras de soluciones anti-virus han sido unánimes a la hora de denominar a este nuevo parásito. W32/Explorer según Panda Software, W32/Aplore para McAfee, Worm_Psecure.A según TrendMicro y W32/Aphex para Symantec. Nombres todos alusivos a los archivos que este gusano, programado en Borland Delphi, instala en el equipo de la víctima.

El gusano llega como un adjunto, de nombre "psecure20x-cgi-install.version6.01.bin.hx.com", a un mensaje de correo electrónico de asunto y cuerpo "." que enviará a todos los e-mails encontrados en la agenda de direcciones de Outlook empleando los archivos SWCRIPT.EXE e EMAIL.VBS que descarga en el directorio del sistema.

En caso de ejecución del adjunto, el gusano crea un archivo de 0 bytes llamado IPHIST.DAT en el directorio donde se ejecuta. Al mismo tiempo, genera EXPLORER.EXE, que en realidad en una copia del propio gusano, en el directorio Windows\System. A continuación el gusano borra el archivo de la ruta desde la que se ejecutó y permanece residente en memoria instalando su propio servidor web en el equipo.

Con el archivo INDEX.HTML, el gusano genera una página web "falsa" con el siguiente aspecto y que invita al usuario a descargar y ejecutar su archivo sobre el sistema:

Browser Plugin Required:
You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3

Click HERE and choose "Run" to install.

En el mismo directorio que los demás archivos, instala el archivo de imagen, APHEX.JPG además de crear una entrada en el registro de Windows con el fin de ejecutarse cada vez que se arranque el equipo.

Otra rutina es la de enviar mensajes a través de la aplicación de chat IRC con el texto FREE PORN: http://free:porn@x.x.x.x:8180, donde las "x" representan la dirección IP de la máquina afectada. Si se lleva a cabo la conexión a través del navegador de Internet, aparecerá la siguiente pantalla: <<...OLE_Obj...>>

De esta forma, intenta conseguir que otros usuarios descarguen a su vez el gusano en su equipo.

En esta ocasión, aunque los usuarios pueden identificar rápidamente por su forma que el mensaje que reciben a través de e-mail o el chat en realidad porta este código malicioso, no está de más instalar una solución anti-virus lo más actualizada posible en el equipo. 


Copyright © VIRUSPROT.COM