La versatilidad de virus informáticos e «i-worms» o gusanos de Internet es una de sus armas más peligrosas, ya que son capaces de combinar e incorporar habilidades de otros géneros de «malware», como caballos de Troya o bombas lógicas. Uno de los ejemplos que se pueden encontrar más recientemente es el de «3DStars», un peligroso espécimen que se reproduce a través de la Red y, al mismo tiempo, crea puertas traseras en las máquinas afectadas.
Se trata de un patógeno de unos 70 kilobytes de longitud, programado en VisualBasic, y que, afortunadamente, se expande con dificultad debido a la existencia de varios errores letales de programación, que han llegado a mermar la capacidad de difusión de su código por medio de Internet de manera decisiva.
El gusano se presenta en forma de fichero adjunto a mensajes de correo electrónico caracterizados por uno de los siguientes pares de asunto/cuerpo, elegido de manera aleatoria:
Hey, now we can talk with this.. 🙂
Hello
I wrote a new messenger, so that we can talk with it.
Install the self extractable zip attached
My movie clips..
Hiii
I got a webcam, and I captured few movie clips of me. Extract the
attached self extractable, to see them.
A lil naughty stuff..
Hey..
I got few great, erotic movie clips included in the self extractable
I downloaded these MP3s yesterday..
Howdy..
Hey, they r really great.. Extract the selfextractable zip to see
them..
Just a little naughty stuff from me..
Hehehe..
See the cake I prepared for you.. bye 4 now buddy..
Virus Warning..
Hey, take care..
Forward this mail to everyone you know. Today, [%CurrentDate%] FBI
announced that a serious virus is spreading. It is a file with a .VBS
extension, much like Love Bug. See the zip for it
A Business Issue..
Sir,
My company is interested in the opportunities of creating a new
partnership with you. The presentation is attached, kindly see it and
reply soon.
Legal Notice..
Sir/Madam
We are forced by our client to forward a legal notice to you dated
[%CurrentDate%]. Kindly see the attached details, and reply as soon
as possible
Greeting Card 4 You..
Greeeeetings..
Hope you are doing fine. See the ECard attached 4 you..
Donde [%CurrentDate%] es la fecha actual del sistema en el momento en que el e-mail portador fue enviado. En caso de que el destinatario se decida a ejecutar el fichero EXE adjunto, «3DStars» pasar a mostrar un mensaje de error en pantalla, con el fin de distraer la atenci¢n del usuario y evitar cualquier tipo de sospechas:
[ Microsoft Windows ]
The application %ApplicationName caused a general protection fault in module Kernel.exe, and it will be terminated. Press OK to continue
[ OK ]
Donde %ApplicationName% es el nombre del programa portador del c¢digo del gusano. Mientras esto sucede de cara al propietario de la m quina afectada, «3DStars» ya ha completado un proceso de instalaci¢n, por medio del cual ha ubicado una copia de su c¢digo en los directorios de Windows y de sistema, bajo el nombre de «SysTray.exe» y «SysCheck.exe», paso tras el cual habr procedido a a_adir las siguientes entradas en el registro de configuraciones de Windows, con el fin de asegurarse de que ambos programas son ejecutados en cada arranque:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemTray = %WindowsDir%SysTray.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemCheck = %SystemDir%SysCheck.exe
Una vez culminado el proceso de instalaci¢n en el sistema, «3DStars» est en condiciones de lanzar su rutina de reproducci¢n por medio de la Red, por medio de la cual abre la libreta de direcciones del usuario afectado, y env¡a una copia de su c¢digo a cada una de las entradas existentes, as¡ como un duplicado a vb.master@angelfire.com (probablemente, la cuenta del autor), cuyo cometido parece atender a razones de car cter censual.
Concluido el ciclo vital del gusano, el control pasa autom ticamente a la puerta trasera que ‘ste instala en el sistema, mediante la cual su autor es capaz de acceder a m quinas remotas y llevar a cabo acciones tales como listar unidades a las que copiar ficheros o de las que borrar cualquier tipo de datos, enviar mensajes electr¢nicos, ejecutar programas o incluso cerrar la sesi¢n de Windows. Esta parte del esp’cimen est bautizada como «3DStars server», de donde luego ha tomado su nombre.
Ya por oltimo, cabe destacar que el pat¢geno posee una activaci¢n de carga maligna que, el d¡a 4 de cada mes, en caso de haber sido ejecutado antes de las cinco de la ma_ana, sobreescribe el fichero AUTOEXEC.BAT con un troyano que elimina todos los ficheros almacenados en la carpeta de documentos del usuario, as¡ como los archivos DLL (librer¡as de c¢digo) existentes en las carpetas del sistema. Mientras lleva a cabo su acci¢n destructiva, «3DStars» muestra en pantalla el siguiente mensaje:
Please wait while setup update files. This may take a few minutes… Now loading Windows..
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=776
M s informaci¢n:
I-Worm.3DStars
http://www.avp.ch/avpve/worms/email/3dstars.stm
W32.3Dstars.Worm
http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=29039
Giorgio Talvanti
talvanti@hispasec.com
http://www.hispasec.com
