GUSANO

Goner

Índice
Las primeras incidencias de Goner aparecieron el 4 de diciembre de 2001 en las ciudades europeas de Francia y Alemania llegando incluso más tarde a Estados Unidos. En su primer día de vida, el director de marketing de McAfee, Ryan McGee, estimaba en 100.000 los PC's infectados por este gusano, por lo que se le podría comparar al famoso virus ILoveYou descubierto en la primavera del 2000.

Goner utiliza diversas vías de difusión: correo electrónico y canales IRQ e ICQ. El mensaje bajo el que se oculta presenta el siguiente aspecto:

Asunto: Hi

Texto:
How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!

Archivo adjunto: GONE.SCR (38,912 bytes). El icono que lo acompaña muestra una silueta del personaje Dark Vader de la película Star Wars (La Guerra de las Galaxias).

El archivo adjunto de extensión .SCR (simula ser un salvapantallas) que contiene el código viral está desarrollado bajo Visual Basic 6, codificado como un Portable Executable (PE) de Windows y comprimido con la utilidad UPX 0.9, siendo su tamaño real de 148 Kb.

Examinando las propiedades de GONE.SCR, se pueden encontrar estos datos:

Comentarios: Power Puff girls rulz! ;>
Nombre del producto: pentagone
Nombre interno: gone
Nombre original del archivo: gone.scr
Versión del producto: 0.00.0003

En caso de que el usuario lo ejecute, se abrirá una ventana animada con el título "About" y el siguiente texto:

pentagone

coded by: suid

texted by: ThE_SKuLL and |satan|
greetings to: TraceWar. k9_unit, stef16 ^Reno

greetings also to nonick2 out
there where ever you are

E inmediatamente después, muestra un mensaje de error falso:

Error
Error While Analyze DirectX!
[   Aceptar   ]

En este momento el gusano empieza su rutina vírica. Para ello, utilizando funciones MAPI, se enviará automáticamente a todos los e-mails que localice en la libreta de direcciones de Outlook.

Se copiará en la carpeta del sistema como GONE.SCR y modificará el registro para ejecutarse en cada reinicio del equipo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
c:\windows\system\gone.scr = c:\windows\system\Gone.scr

La rutina dañina más peligrosa que contiene el gusano es la de eliminar del equipo los siguientes archivos ejecutables correspondientes a conocidas herramientas anti-virus, firewalls, etc. en caso de localizarlos en el sistema:

APLICA32.EXE
AVCONSOL.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
NAVAPW32.EXE
NAVW32.EXE
PCFWallIcon.EXE
PW32.EXE
SAFEWEB.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
Y, todos los archivos del directorio C:\SAFEWEB\ si existe.

En caso de que la eliminación fracase, creará o modificará el archivo WININIT.INI con el fin de llevar a cabo esta tarea en el siguiente arranque del sistema. En este archivo también crea una entrada que borrará la copia actual del archivo que lo contiene con el fin de pasar desapercibido (excepto si la primera ejecución se realizó desde la carpeta Windows\System).

El gusano también intenta ocultarse en la lista de tareas, registrándose a si mismo como un servicio. Sin embargo, el objeto Outlook Application Object que utiliza, lo hace visible.

Como ya indicábamos, Goner además de utilizar Outlook, también se difunde a través del cliente de chat, mIRC, con el fin de habilitar una puerta trasera (backdoor) para lanzar ataques de denegación de servicio (D.o.S) a otros canales de IRC y a los usuarios conectados al mismo canal del usuario infectado..

Para ejecutarse cada vez que se usa el mIRC, el gusano localiza en el equipo el archivo de control MIRC.INI, en el mismo directorio donde este se ubique crea el archivo REMOTE32.INI y agrega una entrada al mismo en MIRC.INI, que al ejecutarse se añada (aunque no siempre) al canal de IRC #pentagonex en el servidor twisted.ma.us.dal.net.

Para propagarse a través del ICQ, Goner suplanta la librería ICQMAPI.DLL, y este archivo lo traslada de su localización habitual C:\PROGRAM FILES\ICQ\ a C:\Windows\System. Debido a esto, consigue llamar a la función ICQAPI con la cuál obtendrá información de otros usuarios y se enviará a todos los usuarios en línea de una lista que es creada por el virus.

Responde a las demandas del programa cliente, buscando las ventanas de diálogo de las siguientes listas: Send Online File y Send Online File Request. Asimismo, en el caso de encontrar las siguientes ventanas ICQ periódicamente las cerrará:

User has declined your request
Can't Send File Request
Send Online File [User Is in N/A mode]
Send Online File [User Is Away]
Send Online File [User Is Occupied]
Send Online File [User Is in DND mode]
User has declined your request
Can't Send File Request
Send Online File Request [User Is in N/A mode]
Send Online File Request [User Is Away]
Send Online File Request [User Is Occupied]
Send Online File Request [User Is in DND mode]


Copyright © VIRUSPROT.COM