Virus mas importante del mes. Todos los meses un informe completo sobre un virus nuevo

VIRUS DEL MES

En este mes de Marzo, hablaremos ampliamente de un virus de reciente aparicion, se trata de I-Worm.Roron

Nombre: RoROn
Alias: W32/Oror-Fam; Roron; Roro; Oror.
Sistema operativo: Windows.
Medios de infección: Correo electrónico, unidades compartidas, kazaa, Irc.

La primera vez que el gusano es ejecutado, éste intenta engañar al usuario mostrando un falso mensaje de error como si el fichero .exe fuera un autoextraible comprimido con el winzip. Dicho mensaje es el siguiente: WinZip Self-Extractor License Confirmation Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site for additional information.

Para instalarse, el virus se copia a si mismo al directorio de Windows bajo el nombre de "rundll16.exe" y se añade a la carpeta auto-run del registro con el fin de ejecutarse en cada inicio del pc. HKLM\Software\Microsoft\Windows\Current-Version\Run Load Current Profile= Rundll16.exe powprof.dll, Load Current User Profile.

El siguiente paso es modificar la asociacion de archivos ejecutables, de manera que cada vez que un archivo .exe (la mayoría de los programas y utilidades se ejecuten mediante este tipo de extension) es ejecutado, primero se ejecuta el gusano y luego el archivo original. HKCR\exefile\shell\open\command\%WinDir%\Rundll16.exe "%1" %*

El siguiente paso que realiza el virus es el de copiarse a si mismo al directorio del sistema de Windows y al directorio de "Archivos de Programa". Para seleccionar el nombre del archivo el gusano crea nombre al azar de los directorios de la victima, o los nombres de directorios y añade al azar una de estas extensiones: 98.exe; 16.exe; 32.exe.

Esos ficheros también son grabados en el registro bajo la clave auto-run y en el fichero WIN.INI en la seccion de Windows. Por último, el gusano crea un fichero de datos en el directorio Windows bajo el nombre "winfile.dll" en el cual guarda diferentes variables que utilizará cuando sea necesario.

Infeccion por correo electrónico

Como casi todos los virus que tienen infeccion por medio del correo electrónico, los emails llegan con diferentes asuntos, cuerpos y ficheros añadidos. La unica forma que tiene de infectar es que el usuario ejecute el archivo adjunto, momento que el gusano aprovechará para instalarse en el sistema.

Los nombres de los ficheros adjuntos pueden ser los siguientes: Star_Craft_2_Trailer.exe; WWF_The_Rock(show).exe; Sound_Factory_SFX.exe; Eminem Desktop.exe; Love_ZOdiak.exe; [TNT]GeN.exe; Setup.exe, etc.

El campo Asunto y Mensaje se seleccionan aleatoriamente de entra una lista interna.

Infeccion de la red

Para infectar via red local, el gusano busca unidades remotas y se copia a si mismo con uno de los nombres que ya hemos visto. El gusano solo podrá infectar en caso de que la unidad sea accesible de forma total (lectura/escritura).

El gusano busca unidades por dos métodos:

1.- Enumera todas las unidades lógicas disponibles (desde C: hasta Z:), obtiene información sobre ellas e intenta infectarlas en caso de que se trate de una unidad de red compartida.

2.- Enumera los recursos de red usando las funciones API de Windows e infecta las que encuentre.

Infeccion P2P: Kazaa

El gusano se copia al directorio compartido del Kazaa bajo uno de los nombres que hemos visto anteriormente.

Infeccion por IRC

El gusano busca el cliente mIRC e incorpora nuevos archivos y reescribe los ficheros: alias.ini; server.ini; notes.ini; popup.ini

El fichero es un backdoor que permite a un atacante tener cierto control sobre la máquina infectada.

Página principal / Mapa Web