Gabriela Mattoni Correo electr�nico: [EMAIL PROTECTED] Telefax: (54-11) 4729-9127 Buenos Aires, Argentina -----Mensaje original----- De: Joana <[EMAIL PROTECTED]> Para: [EMAIL PROTECTED] <[EMAIL PROTECTED]> Fecha: Viernes 11 de Junio de 1999 09:59 Asunto: [HISP] el nuevo Melissa >Date: Fri, 11 Jun 1999 12:12:52 +0200 >From: "Jesus Sanz de las Heras. CSIC/RedIRIS" <[EMAIL PROTECTED]> >Subject: [ADM] Virus Explore >To: [EMAIL PROTECTED] > >ZippedFiles, el nuevo Melissa >----------------------------- >Ha saltado la alarma, un nuevo gusano con caracter�sticas de >reproducci�n similares a Melissa est� invadiendo las redes >inform�ticas de todo el mundo. > >Esta ma�ana empezaron a aparecer los primeros elementos, en >HispaSec hemos tenido ocasi�n de ver como un ejemplar de este >gusano se ha reproducido por m�ltiples estaciones de una red en >cuesti�n de pocos minutos. Al contrario que con Melissa cuya >incidencia fue m�nima en nuestro pa�s, parece que este elemento >s� que puede llegar a colapsar redes en todo el mundo y correr de >buz�n en buz�n al igual que el cl�sico Happy99. Al menos lo hemos >comprobado esta ma�ana. > >El gusano, al que ya se le atribuyen diversos nombres Worm.ExploreZip >(seg�n Symantec) o I-Worm.ZippedFiles (seg�n AVP) es muy peligroso >por diversos motivos, que van desde su alto �ndice de reproducci�n >hasta su payload da�ino. El gusano emplea comandos MAPI (Messaging >Application Program Interface) y Microsoft Outlook o Exchange en >los sistemas Windows para propagarse, y podemos afirmar que a d�a >de hoy el virus ya se encuentra en nuestro pa�s. > >El �ndice de propagaci�n es elevado ya que el gusano se autoenv�a >a las direcciones que tengamos en la carpeta Inbox del cliente >de correo. Para ello, genera una respuesta a un mensaje recibido, >en la que se incluye enlazado el archivo "zipped_files.exe" (con >un tama�o de 210,432 bytes). En el e-mail incluye el siguiente >texto en ingl�s: > >Hi nombre_del_destinatario! >I received your email and I shall send you a reply ASAP. >Till then, take a look at the attached zipped docs. >bye > >Que traducido quedar�a como sigue: > >Hola nombre_del_destinatario! >He recibido tu email y te responder� tan pronto como pueda. >Hasta entonces, mira los documentos comprimidos adjuntos. >Adios >Cuando el programa se ejecuta, sale la ventana de error provocada >por el propio troyano, con un mensaje indicando que no puede >abrir el archivo, como si no fuera un tipo de fichero v�lido y >lo confundiera con parte de un zip. Si se acepta (unica opcion) >ejecuta el winzip original, para que el usuario no sospeche nada. >Pero la acci�n maliciosa del gusano ya habr� iniciado su curso. > >El gusano se copia a s� mismo en el directorio System de Windows >bajo el nombre "Explore.exe" o de "_setup.exe" en la carpeta >Windows. Tras ello, modifica el win.ini (en entornos Windows 95/98) >o el registro (bajo Windows NT) para que se ejecute cada vez que >se inicie Windows. Para conseguir direcciones de correo y seguir >propag�ndose emplea el cliente de correo. > >Pero la acci�n del gusano no queda ah�, sino que adem�s contiene >un payload malicioso que hace que al ser ejecutado busque por >las unidades desde C hasta Z, (lo que incluye unidades de red >mapeadas) y en general en cualquier recurso compartido de la >red, y destruya ficheros de forma aleatoria. La acci�n consiste >en crear otro archivo de id�ntico nombre y longitud 0 bytes. Los >ficheros destruidos son de las siguientes extensiones doc >(documentos Microsoft Word), xls (hojas de c�lculo Excel), ppt >(presentaciones PowerPoint), asm (c�digo fuente en ensamblador), >c, h y cpp (c�digo fuente y librerias de C y C++). > >Por otra parte, y seg�n hemos podido comprobar en el Laboratorio >de HispaSec, Zipped_files tambi�n es capaz de reproducirse y >ejercer su acci�n da�ina a trav�s de una red local. Si encuentra >acceso al directorio Windows de cualquier usuario de la red >proceder� a la infecci�n de dicho equipo copi�ndose y modificando >el win.ini correspondiente, adem�s de destruir los ficheros >anteriormente mencionados en el equipo remoto. > >Hay que hacer especial incapi� en este hecho. Nos ha sorprendido >que ninguna casa antivirus se haya hecho eco de esta caracteristica >en sus analisis ya que es de extrema gravedad en entornos >corporativos, en los que puede hacer estragos. Pues es capaz de >infectar m�quinas sin la necesidad de que el usuario interactue, >como en el caso de tener que abrir/ejecutar el adjunto por email, >sino que sin que el usuario se de cuenta puede verse infectado, y >la proxima vez que se inicie se ejecute. Sin olvidar la posibilidad >de poder ser v�ctima directa al borrar los ficheros de datos a >trav�s de la red. > >Como en otras ocasiones, en HispaSec vamos a explicar como eliminar >este gusano de cualquier ordenador sin necesidad de recurrir a >ninguna herramienta o antivirus. Basta con borrar la l�nea >run=C:\WINDOWS\SYSTEM\Explore.exe o run=C:\WINDOWS\_setup.exe >(dependiendo de la forma en que haya realizado la infecci�n) del >archivo win.ini y eliminar el fichero explore.exe del directorio >system de Windows. Una vez realizados estos dos pasos, es necesario >reiniciar el ordenador para que la operaci�n pueda darse por >terminada. > >Bajo NT, Zipped_files act�a de forma diferente, ejecut�ndose como un >proceso dentro del Adminiustrador de tareas bajo el nombre "Explore". >Se puede evidenciar una carga elevada de utilizaci�n de la CPU justo >antes de finalizar el proceso. Para eliminarlo hay que ejecutar >Regedit (no regedit32) y localizar la clave >HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows >Tras esto, se debe eliminar el registro >"run"="C:\WINNT\System32\Explore.exe" o "run"="C:\WINNT\_setup.exe". >Por �ltimo s�lo queda reiniciar Windows NT y borrar el archivo >Explore.exe del directorio system32 de WinNT. > >M�s informaci�n: >Symantec: >http://www.symantec.com/avcenter/venc/data/worm.explore.zip.html >Network Associates: >http://www.avertlabs.com/public/datafiles/valerts/vinfo/va10185.asp >AVP: http://www.avp.com/zippedfiles/zippedfiles.html >Panda Software: http://www.pandasoftware.es/inet5664.htm >TrendMicro:http://www.antivirus.com/corporate/media/1999/pr061099.htm >DataFellows: http://www.europe.datafellows.com/v-descs/zipped.htm >Sophos: http://www.sophos.com/downloads/ide/index.html#explorez >ZDNet: >http://www.zdnet.com/zdnn/stories/news/0,4586,2273505,00.html?chkpt=hpqs0 >14 > > >-- >Jesus Sanz de las Heras E-mail: [EMAIL PROTECTED] >RedIRIS/CSIC Tel: +34 91 585 51 38 >Serrano 142 Fax: +34 91 585 51 46 >E-28006 Madrid >SPAIN Coordinador correo electronico > Coordinador Servicio Listas de distribucion >- Red Academica y Cient�fica espa�ola (http://www.rediris.es/mail/) - > >---------------------------------------------------- >Los archivos de ADMIN-L pueden ser consultados en: > http://listserv.rediris.es/archives/admin-l.html >------------------------------------------------------ > ---------------------------------------------------- Para darse de baja HISPANIA pincha y envia el siguiente url mailto:[EMAIL PROTECTED] ----------------------------------------------------
