WormTrojan v1.0b: Un Generador de Gusanos
Fuente -Enviado por Admin
Actualizado: 29/03/2005
Fuente -Enviado por Admin
Actualizado: 29/03/2005
No es un un gusano que algún "programador idiota" sube a Internet, sino un generador de gusanos. Es decir, podemos hacer gusanos a la carta.
Desde luego no es otro kit de simple creación de virus. Éstos son casi tan antiguos como los propios virus, pero WormTrojan v1.0b tiene características de generador híbrido de gusanos y troyanos y esto lo hace un tanto especial.
El programa es pequeño: 25.576 bytes sin comprimir y 21.442 comprimido. Está(ba) en versión beta y su autor, Zombie, agradece a todo aquél que lo pruebe para que le envíe la lista de bugs que se vaya encontrando.
WormTrojan v1.0b genera gusanos que pueden editarse para robar contraseñas en los ordenadores infectados.
En este caso el atacante ha de especificar un servidor SMTP y una cuenta de e-mail. A esa cuenta de e-mail irán todas las contraseñas que el gusano vaya recogiendo en cada ordenador en el que se instale. El envío de contraseñas puede ser de dos tipos: cada vez que la víctima esté online o una vez al día.
El gusano generado puede enviar cualquier mensaje que el atacante desee una vez se extienda por e-mail. Por ejemplo, estos son los valores que usa por defecto:
De: greetings@vgreetings.com
Asunto: A Video Greeting
Texto: you have received a videoGreeting from SomeOne
Open attached file to know who have sent it.
Datos adjuntos: video.exe
Una vez que el gusano sea ejecutado por primera vez, éste es el mensaje de engaño:
error!
cannot play Video
Aunque obviamente es un mensaje editable; así que el atacante puede elegir el mensaje que más le convenga.
Otro aspecto importante es que el atacante puede elegir entre conservar el cortafuegos y el antivirus o eliminarlos. Es tan fácil como señalar la opción correspondiente en el editor o no señalarla. Por defecto la opción señalada es la de eliminar el cortafuegos (no así el antivirus).
Cuando el gusano se instala crea los siguientes archivos:
\%System%Sysd.dll
\%System%Exelib.dll
Exelib.dll es el archivo que contiene la contraseñas que han de ser enviadas a la cuenta de e-mail del atacante.
En la clave del registro cambia el valor de:
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand
a %System%wininet.exe "%1" %*
esto hace que el gusano actúe cuando intentemos ejecutar cualquier ejecutable.
Afortunadamente los principales antivirus son capaces de detectar este generador de gusanos bajo varios seudónimos:
Trojan.PSW.Worm.10, W32/Wotron.worm, I-Worm.Wotron, W32/Wotron-A, WORM_WOTRON.A, WORM_WOTRON.10B.
Es muy difícil que quedemos infectados por este generador de gusanos si tenemos la precaución de actualizar nuestro antivirus. Por eso la conveniencia de tener el antivirus al día y la protección de un buen cortafuegos.
Notas:
La variable %System% corresponde a 'C:WindowsSystem' en Windows 9x/ME, 'C:WinNTSystem32' en Windows NT/2000 y 'C:WindowsSystem32' en Windows XP.
Desde luego no es otro kit de simple creación de virus. Éstos son casi tan antiguos como los propios virus, pero WormTrojan v1.0b tiene características de generador híbrido de gusanos y troyanos y esto lo hace un tanto especial.
El programa es pequeño: 25.576 bytes sin comprimir y 21.442 comprimido. Está(ba) en versión beta y su autor, Zombie, agradece a todo aquél que lo pruebe para que le envíe la lista de bugs que se vaya encontrando.
WormTrojan v1.0b genera gusanos que pueden editarse para robar contraseñas en los ordenadores infectados.
En este caso el atacante ha de especificar un servidor SMTP y una cuenta de e-mail. A esa cuenta de e-mail irán todas las contraseñas que el gusano vaya recogiendo en cada ordenador en el que se instale. El envío de contraseñas puede ser de dos tipos: cada vez que la víctima esté online o una vez al día.
El gusano generado puede enviar cualquier mensaje que el atacante desee una vez se extienda por e-mail. Por ejemplo, estos son los valores que usa por defecto:
De: greetings@vgreetings.com
Asunto: A Video Greeting
Texto: you have received a videoGreeting from SomeOne
Open attached file to know who have sent it.
Datos adjuntos: video.exe
Una vez que el gusano sea ejecutado por primera vez, éste es el mensaje de engaño:
error!
cannot play Video
Aunque obviamente es un mensaje editable; así que el atacante puede elegir el mensaje que más le convenga.
Otro aspecto importante es que el atacante puede elegir entre conservar el cortafuegos y el antivirus o eliminarlos. Es tan fácil como señalar la opción correspondiente en el editor o no señalarla. Por defecto la opción señalada es la de eliminar el cortafuegos (no así el antivirus).
Cuando el gusano se instala crea los siguientes archivos:
\%System%Sysd.dll
\%System%Exelib.dll
Exelib.dll es el archivo que contiene la contraseñas que han de ser enviadas a la cuenta de e-mail del atacante.
En la clave del registro cambia el valor de:
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand
a %System%wininet.exe "%1" %*
esto hace que el gusano actúe cuando intentemos ejecutar cualquier ejecutable.
Afortunadamente los principales antivirus son capaces de detectar este generador de gusanos bajo varios seudónimos:
Trojan.PSW.Worm.10, W32/Wotron.worm, I-Worm.Wotron, W32/Wotron-A, WORM_WOTRON.A, WORM_WOTRON.10B.
Es muy difícil que quedemos infectados por este generador de gusanos si tenemos la precaución de actualizar nuestro antivirus. Por eso la conveniencia de tener el antivirus al día y la protección de un buen cortafuegos.
Notas:
La variable %System% corresponde a 'C:WindowsSystem' en Windows 9x/ME, 'C:WinNTSystem32' en Windows NT/2000 y 'C:WindowsSystem32' en Windows XP.
No comments:
Post a Comment