CIUDAD DE MÉXICO, México, agosto, 2002.- McAfee Security, empresa proveedora de seguridad y soluciones para el comercio electronico, alerta al mercado sobre la aparicion de los virus enominados:
W32/Spear.c.worm, W32/Bare.worm y Reboot-R.
De origen desconocido, el W32/Spear.c.worm se trata de un gusano de redes punto a punto, que tiene somo objetivo los archivos compartidos de
Gnutella, eDonkey y KaZaa, que son utilizados por los siguientes programas:
· Bearshare
· Morpheus
· eDonkey2000
· KaZaa
Cuando es ejecutado, el gusano revisa el nombre del archivo. Si el nombre fuera una combinacion de dos nombres de virus internamente reconocidos, el Spear.c procede a copiarse hacia los directorios compartidos de las aplicaciones mencionadas anteriormente.
A continuacion aparece una lista de nombres de archivos que son reconocidos por el gusano:
· AdvZip Recovery.exe
· AIM Pass stealer.exe
· aimcracker.exe
· aimhacker.exe
· AMI BIOS Cracker.exe
· anastasia_anal.exe
· anastasia_naked.exe
· anastasia_nude.exe
· Autocad 2002 Crack.exe
· buttman.exe
· catherine_zeta_jones_anal.exe
· catherine_zeta_jones_naked.exe
· catherine_zeta_jones_nude.exe
· Counter Strike_CD_Keygen.exe
· Delphi 5 Keygen.exe
· Delphi 6 Keygen.exe
· Digimon.exe
· divx_fix.exe
· divx_repair.exe
· edonkey_serverlist.exe
· ftp_cracker.exe
· ftp_hacker.exe
· Half_life Cd keygen.exe
· host_faker.exe
· host_spoofer.exe
· Hotmail Hacker.exe
· hotmail_account_sniffer.exe
· hotmailcracker.exe
· hotmailhacker.exe
· ICQ_Hackingtools.exe
· icqcracker.exe
· icqhacker.exe
· ident_faker.exe
· ident_spoofer.exe
· IIS_shellbind_exploit.exe
· invisible_IP.exe
· ip_faker.exe
· ip_spoofer.exe
· kazaa.exe
· kmd151_en.exe
· linux_root.exe
· Linux_rootaccess.exe
· msn_IP_finder.exe
· msncracker.exe
· msnhacker.exe
· Office key Gen.exe
· Office XP Crack.exe
· OfficeXP_Keygen.exe
· pamela_anderson_anal.exe
· pamela_anderson_naked.exe
· pamela_anderson_nude.exe
· Pokemon.exe
· porn_account_cracker.exe
· porn_account_hacker.exe
· PS1 BootCD.exe
· PS2 BootCD.exe
· PS2_emulator_bleem.exe
· sandra_bullock_naked.exe
· sandra_bullock_nude.exe
· sarah_michelle_gellar_naked.exe
· sarah_michelle_gellar_nude.exe
· shakira_anal.exe
· shakira_a-sf--ked.exe
· shakira_naked.exe
· shakira_nude.exe
· shakira_paparazzi_collection.exe
· Sub7_masterpwd.exe
· tripod_cracker.exe
· tripod_hacker.exe
· win2k_pass_decryptor.exe
· Win2k_reboot_exploit.exe
· win2k_serial.exe
· Windows_Keygen_allver.exe
· winxp_crack.exe
· winxp_cracker.exe
· winxp_hacker.exe
· WinXP_Keygen.exe
· winxphack.exe
· Winzip_Pass_Cracker.exe
· Word_Pass_Cracker.exe
· xbox_emulator_beta.exe
· XP DVD Plugin.exe
· XP ScreenSaver.exe
· XP_Box_emulator.exe
· XP_keygen.exe
· yahoo_cracker.exe
· yahoo_hacker.exe
· Yahoo_mail_cracker.exe
Los sintomas pueden ser reconocidos por la presencia de los archivos mencionados anteriormente, y localizados en los siguientes directorios:
· \program files\bearshare\shared\
· \program files\morpheus\my shared folder\
· \program files\eDonkey2000\incoming\
· \program files\kazaa\my shared folder\
A pesar de esa accion, el gusano no crea llamadas para ser cargado automaticamente en el momento de la inicializacion de su maquina, y no posee una carga destructiva.
El W32/Bare.worm se trata tambien de un gusano de redes punto a punto, que tiene como objetivo a los archivos compartidos Gnutella,
eDonkey y KaZaa.
Cuando es ejecutado, el Bare revisa el nombre del archivo. Si el nombre del archivo es reconocido internamente, el gusano procede a copiarse a si mismo en el directorio usado por dicho archivo, conteniendo los siguientes nombres:
Part 1
· GTA3
· Kazaa 1.73
· Starcraft
· Warcraft 3
· Winamp 3.01
Part 2
· crack
· full downloader
· key generator
· patch
· serial
o
Part 1
· Britney Spears
· Christina Aguilera
· Claudia Schiffer
· Jennifer Lopez
· Pamela Anderson
Part 2
· nude
· porno
· xxx
Part 3
· avi
· jpg
· mpg
· zip
o
Part 1
· AOL
· ICQ
· Kazaa
· mIRC
· MSN
· Windows 2000
Part 2
· backdoor remover
· hack
· password stealer
o
Part 1
· Harry Potter
· Spiderman
Part 2
· screensaver
· wallpaper
Todos los archivos poseen una extension .EXE, como por ejemplo:
· GTA3 crack.exe
· Britney Spears porno.jpg.exe
· MSN password stealer.exe
· Harry Potter screensaver.exe
Asimismo el Spear.c, o W32/Bare.worm no agrega llamadas para ser iniciado de manera automatica en el momento de la inicializacion de la maquina, y tampoco posee una carga destructiva. Los sintomas observados son los mismos del Spear.c.
Por ultimo, el Reboot-R, descubierto el dia de hoy, 28/08/02, tiene la caracteristica de desconectar a la maquina victima. Este utiliza una herramienta de sistema que, por esta incluida en Windows XP (C:\windows\system32\shutdown.exe).
Cuando es ejecutado, esa herramienta es agregada por el troyano, haciendo que la maquina de la victima se desconecte en 6un periodo de 60 segundos. A partir de ese momento, una falsa alarma es mostrada por la herramienta, conforme a la imagen
El Reboot-R tambien se copia hacia el directorio de Windos\System como "rundll32.exe" para ejecutar una rutina de inicializacion de la maquina, causando un loop. El archivo "rundll32.exe" puede ser identificado en la siguiente ruta:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\rundll32.exe
En sistemas diferentes a Windows Xp, el troyano se copia para el Startup (Inicio) de Windows, conforme se muestra en la parte anterior, mas debido a la falta del programa de 'shutdown.exe', un mensaje de error es presentado y el troyano no consigue ejecutar su rutina.
McAfee Security considera a los viruses W32/Spear.c.worm, W32/Bare.worm y Reboot-R como Riesgo Bajo debido al numero de reportes recibidos por McAfee a nivel mundial. McAfee Security recomienda que los productos de antivirus sean actualizados semanalmente, ademas de estar configurados para laproteccion de archivos comprimidos (Compressed Files).
