|
El autor de este virus es un joven checoslovaco de 18 años, quien hace unos meses creó y difundió el gusano
Win2k/StreamEl virus contenido en el archivo ejecutable está comprimido y encriptado. Cuando la interfaz MAPI (Multipurpose Internet Mail Extensions) exclusivamente usada para la administración de correo electrónico, es iniciada por el comando spreadon, el gusano buscará el texto mailto: en los archivos *.htm en la carpeta de Archivos Temporales de Internet, luego enviará un mensaje de correo a la dirección allí especificada.
Cuando se ejecuta el archivo, SERVICES.EXE, el virus realiza las
siguientes acciones:
Examina la presencia de cualquier software "anti-debugging" (usados
para examinar el código de los ejecutables). Si encuentra alguno, el programa
"cuelga" el equipo, y muestra un mensaje de error.
Genera el archivo SERVICES.EXE en la carpeta C:\WINDOWS.
En Windows 9x y Me, la siguiente clave del registro es creada:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
XTCUpdate=C:\WINDOWS\SERVICES.EXE
Esto hará que el gusano se ejecute en cada
reinicio de Windows.
Este gusano utiliza una técnica nueva para seleccionar las direcciones a las cuáles
enviarse, y además puede ser controlado en forma remota a través de Internet.
A diferencia de gusanos anteriores, no utiliza la libreta de direcciones, ni las
carpetas de mensajes para sacar su "lista de envío". Este es el
mensaje enviado por el gusano XTC:
From: support@avx.com
Subject: AVX update notification
Text:
Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It's small, it's efficent, it's secure and powerful. No special licence is needed, it's freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.
Best regards,
AVX developement team.
Attached file: SERVICES.EXE
De: support@avx.com
Asunto: AVX update notification
Hola, nos gustaría
informarle sobre el más reciente software diseñado por la compañia SOFTWIN.
Este programa constantemente monitorea la red buscando las más recientes
alertas de virus y base de datos de anti-virus. En el caso de que algún nuevo
virus sea ubicado "en libertad", inmediatamente le pedirá descargar
la versión más reciente del AntiVirus eXpert 2000 (AVX). Es pequeño, seguro y
poderoso. No requiere ninguna licencia especial, es gratuito. Esperamos que
usted disfrute de AntiVirus eXpert y lo comparta con sus amigos.
Mis mejores saludos,
El equipo de desarrollo de AVX.
Archivo anexado: SERVICES.EXE
Este gusano utiliza el canal IRC (Internet Relay Chat) y el protocolo FTP para recibir actualizaciones. Para este propósito se conectará a eu.undernet.org usando un nombre aleatorio de usuario. Luego se unirá al canal #xtcdan y responderá a mensajes privados con comandos que son reconocidos por el gusano. W32/XTC también envía el No. de su versión y controla a otros gusanos que hagan lo mismo. Si un gusano tiene una versión posterior a otro gusano, entonces el más reciente enviará automáticamente el comando actualizado al gusano de la versión anterior.
Comandos que pueden ser ejecutados por via remota en sistemas infectados (receptores):
ver: devuelve la versión vigente del gusano.
nopassword: deshabilita los comandos IRC hasta que el password correcto es enviado via el comando password.
password: habilita el control de comportamiento del gusano.
dos: inicia la negación del servicio de ataque en contra de direcciones especificadas.
spreadon: habilita la propagación del MAPI.
spreadoff: deshabilita la propagación del MAPI.
reconnect: desconecta y reinicia el gusano.
exitprocess: termina el proceso del gusano.
pwd: envía el directorio actual de equipo receptor al canal IRC.
cd: configura el directorio actual del receptor.
dir: envía el nombre de cada archivo y directorio en el directorio actual del receptor que coincide con la máscara específica.
md: crea directorios en el equipo receptor.
rd: remueve directorios del equipo receptor (falla si el directorio no está vacío)
del: borra archivos específicos del directorio actual del equipo receptor.
move: mueve archivos específicos en el equipo receptor.
info: envía "** I-Worm.XTC, written by Benny/29A. Variant" seguido de un numero de versión con 04 dígitos.
machine: devuelve el nombre del equipo receptor.
dcc send: recibe archivos del canal IRC.
sendme: se auto-envía al canal IRC.
copy: copia archivos específicos en el equipo receptor.
leave: remueve las llaves de registro del gusano, borra el archivo del gusano y reinicia Windows.
mark: configura la página por Defecto de Internet Explorer, Búsqueda por Defecto, Página de Búsqueda, Página de Inicio, Qué es lo nuevo y Página Local apuntando a http://www.therainforestsite.com
stopdos: deshabilita negación del servicio de ataque.
ircsend: envía comandos al canal IRC desde el equipo receptor.
exec: instala y ejecuta un archivo específico en el equipo receptor.
whois: responde si el equipo en un IP específico está infectado.
lanspread: se auto-copia como internat.exe dentro del directorio de Inicio del receptor y como taskmgr.exe en todas las unidades de la C a la Z en los directorios de Windows, Winnt, Win95, Win98, Win2000, Win2k, y WinME.
reboot: reinicia el sistema.
spreadto: senvía el gusano via correo a direcciones específicas.
PING: responde com PONG
PER ANTIVIRUS® detecta este gusano, impide su ejecución y lo elimina eficientemente.
