Trend Argentina lanza alerta amarilla de virus

7 Mar 2005 en Seguridad

A partir del día 7 de Marzo de 2005 a las 3:05 AM, Trendlabs ha declarado una alerta amarilla para controlar la propagación de WORM_KELVIR.B y WORM_FATSO.A.

Trendlabs ha recibido numerosos reportes de infecciónes indicando que este malware se esta propagando en Corea y Los Estados Unido de América.

Descripción:

 • WORM_KELVIR.A:

Este nuevo gusano se propaga a través del MSN Messenger. El gusano intenta enviar el siguiente mensaje a todos los contactos online de MSN Messenger de un usuario afectado:


   “omg this is funny! ando el usuario hace click en la antedicha URL, este gusano instala una copia de si mismo, llamada CUTE.PIF, desde la misma URL. Después de copiarse, este archivo es ejecutado y luego baja otro archivo de tipo malware desde Internet el cual es detectado por Trend Micro como WORM_SDBOT.AUI.


• WORM_FATSO.A

Es un virus residente en memoria que ingresa al sistema a través del MSN Messenger. Distribuye copias de si mismo a todos los contactos online del MSN Messenger de un sistema afectado al envíar un mensaje instantáneo conteniendo un link que, un vez clickeado, instala una copia del mismo en el sistema del receptor. Tiene la habilidad de propagarse vía emule, un conocido programa para compartir archivos puerto-a-puerto. (P2P peer to peer). También es capaz de redirigir usuarios infectados a cierto web site, que al momento de esta notificación ya no se encuentra disponible; este comportamiento se repite cada vez que el usuario accede a Web Sites relacionados con antivirus o compañías de seguridad.


También puede terminar ciertos procesos que se estuvieran ejecutando, y no permitirles ejecutarse mientras él recida en memoria.

Instala muchos archivos en el sistema infectado, uno de los archivos instalados es un archivo de texto (txt) el cual lleva el siguiente mensaje:
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!

‘-S-K-Y-‘-D-E-V-I-L-‘


Detalles:

Arribo e instalación:

Este gusano llega al sistema vía MSN Messenger.

Luego de su ejecución, instala los siguientes archivos maliciosos en la carpeta raíz del sistema (Usualmente C:\\):

Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana…pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Crazy-Frog.Html
Message to n00b LARISSA.txt
Dentro de la carpeta raíz los siguientes archivos inocuos:

Crazy-Frog.Html
Message to n00b LARISSA.txt
British National Party.jpg

Y estos archivos en ciertas carpetas tal como se detalla a continuación:
%System%\\FORMATSYS.EXE
%System%\\SERBW.EXE
%Windows%\\MSMBW.EXE
(Nota: %System% es la carpeta de sistema de Windows, la cual es usualmente C:\\Windows\\System en Windows 95, 98 and ME, C:\\WINNT\\System32 en Windows NT and 2000, y C:\\Windows\\System32 on Windows XP. %Windows% es la carpeta de Windows por defecto , usualmente C:\\Windows or C:\\WINNT.)

Técnica de Autorun:

Crea las siguientes entradas en el registro para poder ejecutar los archivos que ya ha instalado, cada vez que arranque el sistema

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run
%Random Value% = “%Windows%\\msmbw.exe”
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\Run
%Random Value% = “%Windows%\\msmbw.exe”
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\RunServices
%Random Value% = “%Windows%\\msmbw.exe”
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\policies\\Explorer\\Run
%Random Value% = “%Windows%\\msmbw.exe”
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\Run
%Random Value% = “%Windows%\\msmbw.exe”

Nota: %Random Value% puede ser cualquiera de los siguientes:

ltwob
serpe
avnort

Copia los siguientes archivos en la carpeta C:\\Documents and Settings\\%Username%\\Local Settings\\Application Data\\Microsoft\\CD Burning\\

AUTORUN.EXE
AUTORUN.INF
Nota: %Username% se refiere al usuario logueado al momento de copiarse.

AUTORUN.EXE es una copia de este gusano, mientras que, AUTORUN.INF sirve como la rutina de auto inicio para ejecutar AUTORUN.EXE. Hace esto para poder copiarse el mismo a un CD mientras si el usuario afectado esta grabando uno, y luego es ejecutado automáticamente desde el CD cuando este es leído por el sistema.

Otras modificaciones al Registro de Windows:

Puede también añadir o modificar la siguiente entrada del registro para habilitar la herramienta de SYTEM RESTORE, de manera que el virus pueda ser incluido entre los archivos a ser restaurados en caso de que el usuario restaure el sistema:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\
Windows NT\\SystemRestore
DisableSR = “0”
DisableConfig = “0”

Propagación vía Mensajeria Instantánea

Se propaga vía MSN. Messenger. Envía un mensaje instantáneo a todos los contactos online del usuario afectado de manera que contenga un link a un sitio de Internet en particular.

Cuando el usuario hace clic en este link, una copia de este gusano es instalada en el sistema.


Propagación a través de Redes de comparición de archivos puerto a puerto

Este archivo malware también se propaga vía eMule. Se copia a si mismo con el siguiente nombre a la carpeta  %Program Files%\\Program Files\\eMule\\Incoming\\ del sistema afectado:


Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe
Antivirus Retaliation

También realiza una modificación del archivo HOSTS file para redirigir a los usuarios afectado al siguiente sitio Web cuando intenten acceder a sitios relacionados con antivirus o compañías de seguridad:

64.2.167.104
Al momento de esta notificación, el sitio no se encuentra disponible.

Esto sucede cuando un usuario accede a los siguientes sitios:

www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
andasoftware.com
uk.trendmicro-europe.com


El Laboratorio de Trend Micro va a estar lanzando los siguientes elementos de prevención:

TMCM Outbreak Prevention Policy 154
Official Pattern Release 2.476.00
Damage Cleanup Template 550
 

Instrucciones de remoción automática

 

Para remover automáticamente este software maligno de su sistema, por favor utilice el Damage Cleanup Service de Trend Micro.

Descargue la herramienta del siguiente link:
http://www.trendmicro.com/download/dcs.asp, luego descomprímala  y cópiela a la carpeta de \\\\Server\\ofcscan\\admin\\  de su servidor de OfficeScan. 


Para mas información sobre WORM_KELVIR.B y WORM_FATSO.A, puede visitar nuestro sitio en la siguiente página:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_KELVIR.B

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FATSO.A

Actualizaciones de Lista de Virus

La lista de virus que detecta este código malicioso 476 (2.476.00) se encuentra disponible en la siguiente página de Internet:
http://www.trendmicro.com/download/pattern.asp

Recordamos que todos nuestros productos poseen mecanismos para actualizarse en forma automática desde Internet.

Ante cualquier consulta o inconveniente puede enviar un email a soporte@antivirus.com.ar