|
Xerom, I-worm.Xerom
Xerom es un gusano reportado el 26 de Noviembre del 2002, de propagación masiva a través de la red de archivos compartidos Kazaa, canales IRC (Internet Chat Relay), unidades locales y Redes. Emplea aleatoriamente varios nombres de archivos relacionados a la palabra Xerox:
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. Está desarrollado en Borland Delphi, tiene una extensión de 78 KB y está comprimido con el utilitario encriptador de fabricación rusa muy poderoso llamado tElock, desarrollado por el hacker auto-denominado tHE EGOiSTE:
http://arctest.narod.ru/self/telock.htm
Al ingresar furtivamente a un sistema se auto-copia al directorio raíz de la unidad C: con cualquiera de los siguientes nombres:Para ejecutarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = "C:\%nombre_aleatorio%"
%nombre_aleatorio% es una variable que corresponde a cualquiera de los 9 archivos infectados.
También se auto-copia al directorio de Inicio de Windows:
C:\Documents and Settings\%Nombre_de_Usuario%\Mis Documentos\Menú Inicio\Programas\Inicio\
Luego crea otra llave de registro:
[HKEY_LOCAL_MACHINE\Software\Xerox]
xeroxlocation =
%nombre_actual%"
%nombre actual% es el archivo desde la ubicación que el gusano fue inicialmente activado.
Su primera acción destructiva consiste en terminar los procesos de varios antivirus y software de seguridad:
IAMAPP.EXE
VSHWIN32.EXE
ICLOAD95.EXE
IAMSERV.EXE
VSECOMR.EXE
ICMON.EXE
CFINET.EXE WEBSCANX.EXE
ICSUPPNT.EXE
APLICA32.EXE
AVCONSOL.EXE
ICLOADNT.EXE
ZONEALARM.EXE VSSTAT.EXE
ICSUPPNT.EXE
ESAFE.EXE
NAVAPW32.EXE
TDS2-98.EXE
CFIADMIN.EXE
NAVW32.EXE
TDS2-NT.EXE
CFIAUDIT.EXE
_AVPCC.EXE
TDS2-XP.EXE
CFINET32.EXE
_AVPM.EXE
SAFEWEB.EXE
PCFWALLICON.EXE AVP.EXE
ZAPRO.EXE
FRW.EXE LOCKDOWN2000.EXE
BLACKICE.EXE
Con lo cual dejará al sistema infectado totalmente vulnerable a los virus y ataques de intrusos.
Continúa el proceso de infección al crear una copia de sí mismo en la carpeta de la red Kazaa, eligiendo al azar uno de los siguientes nombres:
Luego buscará el software mIRC y si lo encuentra, sobre-escribirá el SCRIPT.INI con instrucciones para el auto- envío e infección a los usuarios que compartan una misma sesión de Chat.
Este Script contiene el siguiente texto:
Please dont edit this script... mIRC will no longer runcorrectly
Para infectar el disco de la Red, el gusano se auto-copia a las unidades de C: a Z: y en el caso que existiese un archivo AUTORUN.INF, el gusano lo sobre-escribirá para activarse la próxima que se re-inicie el sistema.
Los días 13 de Diciembre del 2002 hasta el del 2012 el gusano está programado para realizar estas acciones:1. Mostrar este mensaje:
all your bases belongs to us - SYSTEM OWNED BY
"tHE xEROx wORM" - fix the network problems -
no harm to your systems done.
2. Enviar este texto a todos los usuarios de la Red:
SYSTEM OWNED BY "tHE xEROx wORM" -
all your
bases belongs to us
XeroX win32 worm - all yours bases
belongs to us.
- system owned -
- network compromised -
- antvirus/ firewalls shutdown -
- xerox 2 all users names that log into a infect machine -
- infects kazaa -
- disk drive infected -
- net send command -
- packet servers -
- no harm done to system/user files -
worm was designed ONLY to spred not to do any permanant damage, just
dont allow worm to infect a lage network as it can packet the server,
on 13th of december any year.
4. Imprimirá el texto anterior hasta 200 veces en forma contínua.
PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 26 de Noviembre del 2002 detectan y eliminan eficientemente este gusano.
