|
W32/Warga@MM, I-Worm.Wargam, W32/Warga@MM ,I-Worm.Wargam
Wargames es es un muy sofisticado gusano escrito en Borland C++, reportado el 26 de Febrero del 2002 sumamente destructivo, ya que borra todos los archivos .EXE del disco. Cuenta con una amplia capacidad de propagación masiva en Internet ya que además de auto-enviarse vía mensajes de correo, para lograr una eficiente infección, deshabilita la mayoría de software Antivirus en servidores, estaciones de trabajo, equipos individuales y PC domésticas.
El archivo infectado es un clásico archivo con formato PE (Portable Ejecutable) y debido a ello, infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000
Para dificultar su detección y posterior eliminación por parte de los Antivirus, este gusano que tiene una extensión de 77k, ha sido comprimido con el utilitario ASProtect:
Se propaga a través de mensajes de correo con 3 diferentes temas y sus correspondientes archivos anexados, que tratan de despertar la curiosidad del destinatario al aparentar contener "parches", correcciones o un archivo divertido:
Si un archivo anexado es ejecutado, inmediatamente se auto-copia dos veces a la carpeta C:\Windows\Systems con el nombre "article.doc.exe", empleando un nombre aleatorio para la extensión .EXE. Luego modifica la siguiente llave del registro de Windows:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WarGames]Worm DisplayName = Wargames Uninstall
UninstallString = rundll32 mouse,disable
Luego el gusano deshabilitará la mayoría de software antivirus instalados en el equipo infectado. Par lograr este objetivo el gusano hace una búsqueda de los siguientes procesos, en memoria dinámica:
AVP32.EXESi cualquiera de los procesos antes mencionados es encontrado, los terminará o cerrará y luego borrará todo el contenido de la carpeta que contenga dicho archivo.
El gusano además se autocopiará en las siguientes carpetas:
C:\%Windows% o C:\WinNT) y
C:\%Windows\%System% o
C:\WinNT\System32, con 2 nombres:
ARTICLE.DOC.EXE y un nombre un nombre aleatorio de 8 caracteres, con
extensión .EXE (Ejemplo: WRRRRRRR.EXE)También crea un archivo temporal con el nombre de WARGAMES.VBS en el directorio C:\%Windows%.
En MS Windows 2000 también agrega la siguiente entrada al registro de Windows, para asegurarse de ejecutarse en el siguiente reinicio del sistema:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN]
wrrrrrrr.exe=wrrrrrrr.exe
En MS Windows 95/98/Me en cambio, para lograr el mismo objetivo de auto-ejecución, modifica el archivo WIN.INI, en la sección
[Windows]:run=wrrrrrrr.exe
Adicionalmente crea una entrada en la Opción "Agregar/Quitar Programas", con el nombre "Wargames Uninstall"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WarGames Worm]
DisplayName = Wargames Uninstall
UninstallString = rundll32 mouse,disable
Si el usuario selecciona esta falsa opción de desinstalación, se deshabilitará el mouse.
Para auto-enviar los mensajes, este sofisticado gusano emplea 3 métodos diferentes:En primera instancia rastrea los archivos con extensión .HT, .DOC y .XLS en la carpeta de Windows, dentro de los directorios Personal, Escritorio, Favoritos y los de Internet Cache, buscando las direcciones de correo, a las cuales enviará los archivos infectados.
En segundo lugar, haciendo uso del recientemente creado archivo "wargames.vbs" en la carpeta de Windows, lo ejecutará y este script se encargará de enviar cualquiera de los archivos infectados a todos los buzones de la libreta de direcciones de MS Outlook
En tercer método consiste en el clásico uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), mediante el cual el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook.
Finalmente, su payload altamente destructivo, buscará en la unidad C: del disco y eliminará todos los archivos que tengan la extensión .EXE, dejando completamente innoperativo al sistema infectado.
PER ANTIVIRUS® versiones 7.3 con registro de virus al 26 de Febrero del 2002
detecta y elimina eficientemente este gusano.
