|
Chir, es un gusano reportado el 13 de Junio del 2002, con amplia capacidad de propagación masiva debido a que aprovecha una vulnerabilidad en MIME (Multipurpose Internet Mail Extensions) e IFRAME de algunas versiones de MS Outlook, Outlook Express e Internet Explorer, que infecta el sistema con tan solo lee el mensaje, sin necesidad de abrir o ejecutar el archivo anexado.
Su propósito es saturar los servidores WEB y LAN, estaciones de trabajo y PC domésticas.
Es un PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Se propaga en mensajes con un archivo anexado de nombre p.exe, con una extensión de 10.6 KB. Con el propósito de engañar al destinatario, el gusano emplea la dirección de correo del sistema infectado, por ejemplo: <nombre del usuario@hotmail.com> extraídas de la libreta de direcciones de Windows, o en forma aleatoria usa la dirección <iloveyou@btmail.net.cn>. El contenido o cuerpo del mensaje está en blanco, pero contiene instrucciones HTML con el código viral.
Al ser ejecutado, el gusano se copia a la carpeta C:\Windows\runonce.exe y para ejecutarse la próxima vez que se inicie el sistema configura la siguiente llave de registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Runonce=C:\<Windows system folder>\runouce.exe
También crea varios archivos .EML con el nombre de la computadora infectada
en todas las unidades de disco de la Red local.
Cuenta con sus propias rutinas SMTP
(Simple Mail Transfer Protocol) para el auto-envío
masivo de mensajes basado en codificación Base64.
La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para ser representados por caracteres imprimibles.
Adicionalmente las funciones de las librería SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) empleado para extraer mensajes de correo de otros servidores, el archivo infectado es copiado por el gusano, a la carpeta C:\Windows\System, donde se encuentra la librería SEE32.DLL que es una motor de envío de mensajes de correo SMTP/POP3.
El parche para tanto el IFRAME exploit y el MIME exploit puede ser descargado de:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Internet Explorer 6.0 ya incorpora esta corrección.
PER ANTIVIRUS® versión 7.5 actualizado al 13 de Junio del 2002, detecta y elimina eficientemente este gusano.
