E-mails de la Microsoft (virus)

Leanse este articulo .. esta muy completo y trata de los supuestos mails
(virus) que manda la Microsoft y que estan llegando a nuestros correos con
la "famosa actualización" o "archivo"
www.hispasec.com
Gusano simula ser una actualización de Microsoft

Swen o Gibe, nombres con el que ha sido bautizado por las casas antivirus,
ha irrumpido con fuerza en las últimas horas. Hispasec
lo sitúa en estos momentos como el gusano con mayores índices de
propagación. Entre otras vías de infección, destaca los mensajes que envía
simulando proceder de un servicio de Microsoft, donde informa al usuario de
que debe instalar el ejecutable que adjunta (el gusano) para proteger su
sistema contra las últimas amenazas de
seguridad.

Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de 105KB, y
afecta a los sistemas Windows. Usuarios, profesionales, y
entornos que utilicen otros sistemas operativos, como Linux o Mac OS, están
fuera de peligro.

Lo primero que destaca de Swen es el cuidado formato del mensaje donde
simula un envío de Microsoft, que sin duda está logrando engañar
a muchos usuarios. Desde las direcciones de remite, con nombres como MS
Technical Assistance o Microsoft Internet Security Section, hasta el cuerpo
del mensaje en formato HTML con el mismo aspecto que la página web de
Microsoft, incluido logotipos. El texto también aparece
muy cuidado y bien formateado, con referencias a las versiones de Internet
Explorer y Outlook Express que supuestamente el parche corrige, así como
enlaces a direcciones reales de la web de Microsoft.

Es sin duda este aspecto del gusano lo que está logrando engañar a muchos
usuarios, que terminan instalando el ejecutable que adjunta
al mensaje creyendo que se trata de un parche oficial de Microsoft,
provocando en realidad la infección de sus sistemas.

Desde Hispasec recordamos de nuevo, como norma básica y general, que no se
deben ejecutar los archivos adjuntos y, en el caso concreto de
Microsoft, que nunca distribuye actualizaciones o parches por e-mail.


Otras técnicas y vías de propagación

Swen también intenta explotar una vieja y conocida vulnerabilidad de
Internet Explorer para lograr ejecutarse de forma automática sin
necesidad de que el usuario abra el archivo de forma manual. Esta
vulnerabilidad (iframe/mime), que data de marzo del 2001, es la misma
que aprovechan gusanos como Klez, y se estima que la mayoría de los usuarios
no son vulnerables a la misma. De forma que el "éxito" alcanzado por Swen
debe achacarse más a los engaños que está provocando su forma de presentarse
que a motivos puramente técnicos o de vulnerabilidades concretas.

Otras vías de propagación utilizadas por Swen son el IRC, las redes P2P, los
grupos de noticias, y los recursos compartidos.

En el caso del IRC, el gusano modifica el archivo script.ini en los sistemas
que cuenten con el popular cliente mIRC. Esta modificación provocará que el
usuario infectado envíe automáticamente una copia del gusano a otros
usuarios que se encuentren en el mismo canal de
IRC a través de DCC.

En cuanto a las redes P2P, Swen intenta localizar en los sistemas la carpeta
de archivos compartidos del programa KaZaa (cliente P2P),
y realiza varias copias del gusano con distintos nombres simulando ser
utilidades, programas de hacking, salvapantallas, etc. Estos archivos,
además de los que crea en la carpeta temporal de Windows, pasarán a estar
compartidos en la red P2P, y cualquier usuario de la misma puede descargar
el gusano creyendo que se trata de un
programa legítimo.

La propagación a través de las redes locales la realiza copiándose en las
carpeta de inicio de todas las unidades de red mapeadas. El código
del gusano también incluye un listado de servidores de news a los que se
envía.

Por último, tampoco debemos olvidar que además de los mensajes en los que
simula ser una actualización de Microsoft, Swen también
se presenta de otras formas por e-mail. Por ejemplo, finge ser un mensaje
rechazado por el servidor de correo, tipo:
Remite: Email Delivery Service
Asunto: Returned Response
Cuerpo: Undeliverable mail to [dirección de correo]


Instalación en el sistema

Una vez que se ejecuta el gusano, Swen sigue con sus técnicas de engaño, o
Ingenieria Social, y simula la aplicación del parche.
Despliega una ventana bajo el título Microsoft Internet Update Pack,
pregunta al usuario si desea continuar con la instalación,y a continuación
muestra una barra de progresión y aparenta la actualización de diferentes
componentes del sistema.

Debajo de toda estas ventanas, de apariencia legítima, el gusano va
ejecutando su código malicioso. En primer lugar se copia en
la carpeta de Windows con un nombre al azar, y añade una entrada en el
registro de Windows para ejecutarse cada vez que se inicie
el sistema
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run).

Modifica también diversas entradas en el registro de Windows para provocar
que el gusano se ejecute en primer lugar cada vez que el usuario intenta
ejecutar un archivo con extensión .EXE,
.REG, .SCR, .COM, .BAT o .PIF.

Además previene el uso de REGEDIT, en lo que parece un intento de dificultar
que el usuario pueda editar el registro para limpiar las modificaciones
realizadas por el gusano. Esto lo consigue con la siguiente entrada:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "DisableRegistryTools" = 01 00 00 00

Para propagarse por e-mail a otros usuarios, el gusano busca direcciones de
correo a las que enviarse en los archivos con extensión HT*, .ASP, .EML,
.WAB, .DBX y .MBX.

De forma periódica presenta al usuario una ventana que simula ser un error
de MAPI32, donde informa al usuario que algunos datos
han sido dañados y necesita restaurarlos para poder reconfigurar su cuenta
de correo para recibir y enviar mensajes. De nuevo el
gusano hace gala de una interfaz muy cuidada, donde solicita entre otros
datos la dirección de correo del usuario, nombre de usuario,
contraseña y servidores smtp y pop3.

Swen también intenta desactivar todas las protecciones con las que cuente el
sistema. Para ello contiene en su código un amplio listado
de nombres de procesos que finalizará si encuentra en memoria, la mayoría
correspondiente a antivirus, firewalls y otras utilidades de seguridad.

El creador de este gusano también ha querido llevar una estadística del
número de sistemas que consigue infectar. Para ello Swen,la primera vez que
se ejecuta en un sistema, envía una petición HTTP a un servidor web donde
mantiene un contador de visitas.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1790/comentar

Más información:

Win32.Swen.A@mm (Sven)
http://www.bitdefender.com/bd/site/...1&v_id8

Win32.Swen.A
http://www3.ca.com/solutions/collateral.asp?CT'081&CIDP601

W32/Swen.A@mm
http://www.f-prot.com/virusinfo/des...swena.html

Swen
http://www.f-secure.com/v-descs/swen.shtml

Win32/Swen.A
http://www.enciclopediavirus.com/vi...p;alerta=1

Swen.A
http://www.norman.com/virus_info/w3...a_mm.shtml

I-Worm.Win32.Swen.106496
http://www.globalhauri.com/html/sup...IWW3000440

I-Worm.Swen
http://www.viruslist.com/eng/viruslist.html?idˆ029

Gibe.C
http://www.pandasoftware.es/virus_i...px?idvirus@743

W32/Swen@MM
http://vil.nai.com/vil/content/v_100662.htm

W32/Gibe-F
http://www.sophos.com/virusinfo/ana...gibef.html

W32.Swen.A@mm
http://www.sarc.com/avcenter/venc/data/w32.swen.a@mm.html

WORM_SWEN.A
http://www.trendmicro.com/vinfo/vir...ORM_SWEN.A

W32/Swen.A
http://www.vsantivirus.com/swen-a.htm


Bernardo Quintero
bernardo@hispasec.com


Tal día como hoy:

19/09/2002: Microsoft 0, Piratas 1
http://www.hispasec.com/unaaldia/1425

19/09/2001: W32/Nimda, más vale prevenir que curar
http://www.hispasec.com/unaaldia/1060

19/09/2000: "screen" vulnerable a un ataque de formato
http://www.hispasec.com/unaaldia/695

19/09/1999: Cientos de sitios web afectados por una vulnerabilidad en
WWWBoard
http://www.hispasec.com/unaaldia/327