|
W32/Tariprox-B
Tariprox es un gusano Proxy (interceptor de mensajes de correo) que se auto-anexa a todos los mensajes salientes de correo de un sistema infectado, provocando en consecuencia una propagación masiva en Internet, pudiendo además dañar algunos sistemas operativos.
El gusano se propaga en mensajes de correo con un archivo anexado con el nombre del usuario del sistema receptor y la doble extensión doc.pif. Ejemplo: juan.perez@doc.pif
Su formato de programación es un perfecto PE (Portable Ejecutable) y debido a ello, infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
Existen 2 versiones del gusano Tariprox. La primera no está comprimida y tiene una extensión de 40k y la segunda que emplea 21k está comprimida con el utilitario UPX (Ultimate Packer for eXecutables):
Al hacer doble clic en el archivo anexado, para asegurarse de ser ejecutado la próxima vez que se inicie el sistema Tariprox se auto-copia a la carpeta de Windows con el nombre de MMOPLIB.EXE y modifica la llave del registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
mmoplib=c:\Windows\MMOPLIB.EXE
El gusano también reemplaza o crea el archivo HOSTS, el cual resuelve los diferentes parámetros del sistema a las diversas direcciones IP.
El archivo HOSTS es empleado por varios software relacionados a Redes, tales como MS Outlook y Outlook Express, con el propósito de resolver en forma muy veloz las direcciones IP de los equipos, en lugar de tener que consultar a una base de datos DNS (Domain Name Server).
Para poder interactuar con ambos grupos de sistemas Windows 95/98/Me y NT, el gusano creará y/o reemplazará el archivo HOSTS o el HOSTS.bak en las carpetas de Windows y Winnt\System32\drivers\etc\, respectivamente.
Los archivos HOSTS existentes pueden ser nombrados como HOSTS.sam, por defecto en Windows 95/98, en cuyo caso permanecerán sin ser modificados, pero la versión creada por el gusano, sin ninguna extensión, será usada de forma preferencial.
Tariprox genera una entrada en el nuevo archivo HOSTS la cual direcciona el servidor SMTP (Simple Mail Transfer Protocol) por defecto, hacia la dirección IP 127.0.0.1, mientras que el gusano es ejecutado en segundo plano (background), sin que el usuario se percate, esperando aceptar la conexión al puerto 25 del SMTP.
Cuando el usuario del sistema infectado intenta enviar un mensaje de correo, su software ya sea MS Outlook u Outlook Express trata de establecer una conexión al servidor SMTP, en el puerto 25, pero por error, usa la dirección IP 127.0.0.1 y de este modo se conecta al gusano.
Inmediatamente establecida la conexión con el servidor SMTP el gusano intermedia como un nexo, enviando su propio código viral. Sin embargo el gusano evita auto-enviarse repetidamente al mismo destinatario, para lo cual guarda una lista de los 5 últimos buzones de correo en la siguiente llave del registro de Windows:
[HKLM\Software\Microsoft\Media
Optimization library]
MRU=NULL, NULL, recipient5, recipient4, recipient3,
recipient2, recipient1
En el caso de cualquier otro software que emplee el archivo HOSTS para resolver direcciones IP, tal como el TelNet, por ejemplo, el gusano no estará en la capacidad de establecer una conexión al equipo que actúa como servidor SMTP por defecto, debido a que intentará conectarse a la dirección IP 127.0.0.1.
Este gusano fue creado inicialmente para operar con MS Outlook Express y posiblemente no actúe eficientemente con otros software de correo que empleen el protocolo MAPI (Messaging Application Programming Interface).
Internamente en el código viral del gusano se puede visualizar el texto:
'W32.Taricone-B.worm@proxy by I.V.E.L.'
PER
ANTIVIRUS®
versión 7.3 con
registro de virus al 06 de Febrero del 2002 detecta y elimina
eficientemente este gusano.
