El gusano llega como un ejecutable, «Pics4You.exe» (34,304 bytes), adjunto en un mensaje de correo electrónico sin asunto y con el siguiente texto: «Here’s some pictures for you.» [Aquí hay algunas imágenes para tí]. El usuario que lo ejecute, engañado por el sugerente mensaje, no verá aparecer ninguna imagen, en su lugar habrá provocado que el gusano se instale en el disco duro y quede residente en memoria. A continuación, el gusano comienza una rutina de autoenvío a las primeras 50 direcciones de la libreta de Outlook, adjunto en un mensaje de correo, tal y como describimos anteriormente.
Los payloads, o efectos, se activan en el año 2000, según la fecha del reloj del sistema, de forma independiente del día o mes. Cuando esto sucede, el gusano crea en el raíz y ejecuta el fichero «CBIOS.COM», escrito en ensamblador, cuya misión es modificar un byte de los 2 que contienen el valor del cheksum del CMOS, lo que provoca que la próxima vez que el sistema de inicie aparezca el mensaje «CMOS cheksum is invalid». Este mensaje podr¡a darse el d¡a 1 de enero del 2000 en los ordenadores infectados, con lo que muchos usuarios pueden interpretar que el origen de este error es causa del efecto 2000, en vez de un virus.
Para poder seguir con el inicio del sistema, tras este mensaje de error, el usuario debe entrar en el setup de la BIOS y escoger la opci¢n de guardar y salir, con lo que los valores del cheksum del CMOS se restaurar n. A continuaci¢n tiene lugar otro de los payloads, el m s destructivo, que lleva a cabo tras sobreescribir el fichero autoexec.bat con las siguientes l¡neas:
ctty nul format d: /autotest /q /u format c: /autotest /q /u
El fichero autoexec.bat resultante, de 64 bytes, provoca que en el inicio del sistema se formateen las unidades c: y d:. Otro efecto del virus, de menor importancia, consiste en cambiar la p gina de inicio de Internet Explorer con la siguiente direcci¢n:
http://www.geocities.com/SiliconValley/Vista/8279/index.html
El gusano se propaga y actoa tanto en plataformas Windows 9x como NT, y es muy simple en lo que a parte t’cnica se refiere. Una de sus principales debilidades viene dada por el lenguaje utilizado para su creaci¢n, Visual Basic, lo que provoca que sea dependiente del run-time MSVBVM50.DLL. En los sistemas donde no se encuentre esta librer¡a el gusano no podr ejercer su acci¢n y mostrar un mensaje de error al intentar ejecutarlo. Aunque esta premisa pueda parecer en un principio un escollo importante para el gusano, la realidad es que el run-time MSVBVM50.DLL est muy extendido, ya que por lo general se copia en nuestro sistema durante el proceso de instalaci¢n de los programas escritos en Visual Basic.
Desinfecci¢n manual
——————————
Si nos encontramos infectados por este gusano podemos seguir los siguientes pasos para eliminarlo de nuestro sistema:
1) Lanzamos el administrador de tareas con la pulsaci¢n de las teclas CTRL+ALT¨SUPR, se_alamos el proceso «MYPICS» y pulsamos el bot¢n «Finalizar Tarea». Con esta acci¢n se consigue eliminar el gusano de la memoria.
2) Ejecutamos (Inicio -> Ejecutar) la aplicaci¢n REGEDIT.EXE, y buscamos y eliminamos (bot¢n derecho -> eliminar) la siguiente entradas en el registro:
En Windows 9x:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun= C:Pics4You.Exe
En Windows NT:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsNTWindowsRun= C:Pics4You.Exe
3) Comprobar que el fichero autoexec.bat no ha sido modificado, para lo que hay que visualizar su contenido (Explorador de Windows -> se_alamos el fichero -> bot¢n derecho del rat¢n -> Editar). En caso de encontrarnos con las l¡neas «format» procedemos a su borrado.
4) Comprobar si existe un archivo llamado «CBIOS.COM» (Inicio -> Buscar -> Archivos o carpetas), en caso de encontrarlo lo borramos (bot¢n derecho del rat¢n – eliminar).
5) Igual que el paso anterior, pero con el archivo «Pics4you.exe».
6) Restaurar la p gina de inicio en Internet Explorer (Herramientas -> Opciones de Internet -> P gina de Inicio -> Direcci¢n URL).
Una vez m s, recordamos a nuestros lectores la premisa de no abrir o ejecutar ficheros adjuntos no solicitados, aunque el remitente del mensaje sea una persona conocida. As¡ mismo, invitamos a que se pongan en contacto con nosotros aquellos usuarios que tengan algon tipo de incidencia con ‘ste u otro esp’cimen, para colaborar de forma activa en el seguimiento de las infecciones.
M s informaci¢n:
Computer Associates
http://www.cai.com/press/1999/12/emg_w32.htm
NAi
http://vil.nai.com/vil/wm10456.asp
Sophos
http://www.sophos.com/downloads/ide/index.html#mypics
Symantec
http://www.sarc.com/avcenter/venc/data/w32.mypics.worm.html
Trend Micro
http://www.antivirus.com/vinfo/security/sa120399.htm
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec