|
Win32.Aliz, W32.Aliz.A, W95.Aliz.A
Aliz es un gusano escrito en lenguaje Assembler, reportado el 20 de Noviembre del 2001, de gran difusión masiva debido a que se propaga haciendo uso de diferentes Asuntos, elegidos en forma aleatoria, en un mensaje sin contenido pero con formato HTML, muy parecido a los de los gusanos Nimda y Klez.
Aliz contiene un archivo anexado de apenas tan sólo 4 KB de extensión, con el nombre de Whatever.exe, siendo su único objetivo o payload, el saturar los servidores de correo, LAN, estaciones de trabajo y PC domésticas debido a su eficiente efecto multiplicador de auto-envío de mensajes.
Este gusano aprovecha la vulnerabilidad del MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo MS Outlook y Outlook Express. Infecta recursos compartidos de red, servidores web, trunca archivos y satura servidores de correo.
Aliz está comprimido con rutinas propias de su desarrollador, y al infectar se descomprime en memoria dinámica afectando a los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000
Se auto-envía a todos los buzones de la libreta de direcciones de Windows, conectándose a través del servidor SMTP (Simple Mail Transfer Protocol), obtenido desde el registro:
[HKCU\SOFTWARE\Microsoft\Internet Account Manager]
El asunto del mensaje es elegido en forma aleatoria utilizando la combinación de 5 diferentes segmentos contenidos dentro de su código viral:
Primer segmento:
Fw:
Fw: Re:
Segundo segmento:
Cool Nice Hot some Funny weird funky great Interesting many
Tercer segmento:
website site pics urls pictures stuff mp3s shit music infoCuarto segmento:
to check for you i found to see here - check it
Quinto segmento:
!! ! :-) ?! hehe ;-)
Ejemplo de combinación: "Fw: Cool pictures i found !!" o "Nice website to check hehe ;-)".
Aliz.A al ser ejecutado no se instala en el sistema, únicamente se limita a auto-enviarse a la libreta de direcciones de Windows y termina su proceso sin hacer ningún daño adicional, excepto el de la rápida saturación de los sistemas infectados.
Dentro del cuerpo de su código se lee el siguiente texto, el mismo que jamás es mostrado:
:::iworm.alizee.by.mar00n!ikx2oo1:::
while typing this text i
realize this text got added on many av
description sites, because this silly worm could be easily a
hype. i wonder which av claims '[companyname] stopped high risk
worm before it could escape!' or shit like that. heh, or they
boycot my virus because of this text. well, it is easy enough
for the poor av's to add this worm; since it was only released
as source in coderz#2... btw, loveletter*2 power in pure win32asm
and only a 4k exe file. heh, vbs kiddies, phear win32asm. :)
thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
t-2000!ir, ultras!mtx & sweet gigabyte...
btw,burgemeester van sneek: ik zoek nog een baantje...
(alignmentfillingtext)
El parche para tanto el IFRAME exploit y el MIME exploit puede ser descargado de:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
PER ANTIVIRUS® versión 7.2 con registro de virus al 20 de Noviembre del 2001, detecta y elimina eficientemente este gusano y sus variantes reportadas a la fecha.
