|
I-Worm/Toal, W32.Toal.A@mm, W32/AntiWar
Toal es un gusano reportado el 22 de Octubre del 2001, de propagación masiva vía Internet, mediante el envío de mensajes de correo electrónico que contiene un archivo anexado de nombre BINLADEN_BRASIL.EXE, con muchos asuntos aleatorios, escritos en diversos idiomas, expresando insultos o bromas relacionadas a la situación que vive el mundo como consecuencia de los actos terroristas perpetrados el 11 de Septiembre del 2001 contra los Estados Unidos.
Puede infectar los sistemas sin necesidad de ejecutar el archivo anexado, al ser simplemente recibido.
 |
El autor es originario de Río de Janeiro,
Brasil, conocido con el seudónimo de NBK y miembro del
conocido grupo de hackers y crackers denominado CODERZ: http://www.coderz.net
En su portal confiesa ser el autor de la librería INVICTUS.DLL, que es la que genera los dos payload principales de este gusano que infecta los PE (Portable Executable) dentro del directorio C:\Windows\System y se ufana de crear virus y llevar una vida bohemia. |
El cuerpo del mensaje está en blanco, pero contiene una diversidad de asuntos.
| Bin Laden toillete paper !! |
| Sadam hussein & BinLaden IN LOVE |
| Bush fucks Bin Laden hardly <:P |
| Is Osama Bin Laden BAD-LOVED ? |
| USA against Geneva Convention ? |
| Anthrax mail is true(not a joke) |
| Biological weapons: Preventing ! |
| Fucking a mullah in Islamabad |
| O papel higienico do Bin Laden ! |
| Sadam e BinLaden apaixonados |
| Bush fudendo Bin Laden <:P |
| Antraz pelo correio (verdade) |
| Armas biologicas: Previna-se ! |
| Bin Landen Toalettpapper |
| Knulla en muslim i Islamabad |
| papier toillette Bin Laden |
| Sadam & BinLaden EN AMOUR |
| Usa contre la convention de Geneve? |
| Le courrier Anthrax existe vraiment |
| Xarti toualetas Bin Landen !! |
| Hussein & Bin Laden, ERASTES |
| O Bush gamaei agria ton Bin Laden |
| Einai o Osama apotuximenos ston erwta? |
| Amerikh enantia sto synedrio tis Genova? |
| Hepistoles me Antraka,einai gegonos |
| Biologika wpla: Prostasia ! |
| Gamontas ena Moula sto Islamabad |
Toal ha sido programado sofisticadamente en el lenguaje Visual Borland Delphi, y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Sus extensiones son variables, que promedian los 8k y explota una vulnerabilidad en MS Outlook/MS Outlook Express. En el caso de tener activada la opción de "Panel de vista previa", bastará con que el mensaje sea recibido, sin necesidad de abrir el archivo anexado y procederá a infectar automáticamente al sistema. El parche de seguridad para esta vulnerabilidad puede ser encontrado en el siguiente URL de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Una vez activado, el gusano creará los siguientes archivos :
- INVICTUS.DLL en el directorio C:\%WINDOWS%\%SYSTEM% , que es usado para infectar los archivos PE del sistema.
- C:\Windows\System\XYZ.EXE ( XYZ son caracteres escogidos en forma aleatoria)
Este nuevo archivo, además de estar comprimido tiene atributo de oculto (+H) y se ejecutará inmediatamente después de ser creado, usando las funciones de la librería INVICTUS.DLL tanto para descomprimirse como para realizar los payloads del gusano:
[boot]
shell=Explorer.exe xyz.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\BinLaden]
PER ANTIVIRUS® versión 7.1 con registro de virus al 24 de Octubre del 2001 detecta y elimina eficientemente este gusano.
