|
W32/Holar@MM, I.worm.Holar@mm
HOLAR es un gusano reportado el 18 de Julio del 2002, de alta propagación masiva entre los usuarios que comparten los servicios de la red Kazaa, las estaciones de Red LAN compartidas y a través de los contactos de mensajería instantánea de MSN Messenger, con un archivo de nombre aleatorio, con extensión .PIF, de 54 KB, desarrollado en Visual Basic 6.0 y que consta de 3 componentes:
Principal archivo
ejecutable: 54,784 bytes
SVR: 17,408 bytes
HTN: 138 bytes
El nombre del archivo es elegido de cualquiera de los contenidos en la carpeta C:\Mis documentos del sistema infectado y el asunto del mensaje tiene el mismo nombre de archivo extraído de esta carpeta, pero sin ninguna extensión.
Este gusano aprovecha la vulnerabilidad de la Cabecera Incorrecta de MIME (Incorrect MIME Header) del navegador Internet Explorer (versiones 5.01 o 5.5, sin el Service Pack 2) que permite ejecutar un archivo anexado con apenas visualizarlo, sin necesidad de ejecutarlo. El Boletín MS01-20 de Microsoft emitido el 29 de Marzo del 2001 corrige esta vulnerabilidad:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
El gusano es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Cuando el archivo infectado se ejecuta, el
gusano se auto-copia a la carpeta C:\Windows\System y genera una llave en el
registro para poder ser ejecutado la próxima vez que se inicie el sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
ZaCker
El componente de comando web server es integrado a la carpeta del sistema con el nombre de CmdServ.exe y se crea una llave de registro para su ejecución:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
MyLife = C:\Windows\System\CmdServ.exe
El servidor web activa el archivo INDEX.HTM en la carpeta C:\Windows\System, que es creado por el propio gusano. Este archivo HTM contiene un IFrame que se vincula al archivo C:\Windows\System\WarIII.eml, que es una copia del gusano. El servidor web es usado por el gusano conjuntamente con su componente del MSN Messenger, el cual se encarga de auto-enviar los mensajes de correo a toda la Lista de Contactos de este popular software de Mensajería Instantánea, con un enlace al equipo infectado.
Dos llaves de registro son adicionalmente
creadas por el gusano, como verificadores de que las acciones de auto-envío se
ejecutaron con éxito:
[HKEY_LOCAL_MACHINE\Software\Microsoft\HolyWar]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\HolyWar]
Se sospecha que el autor de este gusano, así como del Goner y Zacker, entre otros, es un joven danés que manifiesta llamarse Michael Schmidt, de apenas 16 años y cuya página web es:
http://www.dailyrush.dk/users/zacker
La red compartida p2p (peer to peer) de Kazaa es muy famosa y popular, ya que permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, su respetivo software propietario, el mismo que abre en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:
telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 40900
Accept-Ranges: bytes
Date: Fri, 12 Jul 2002 08:12:25 GMT
Server: KazaaClient Jul 18 2002 05:15:28
Connection: close
Last-Modified: Wed, 26 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html
Para infectar esta red, el autor debe tener instalado el software propietario de Kazaa, luego conectarse a este servicio y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando, que asumimos sea ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.)
Este gusano tiene un payload destructivo, ya que además de tener como objetivo saturar servidores, estaciones de trabajo y PC domésticas, sobre-escribe archivos con las siguientes extensiones:
PER ANTIVIRUS® versión 7.6 con registro de virus al 18 de Julio del 2002 detecta y elimina eficientemente este gusano y sus variantes.
