Swen, un virus que simula ser una actualización de Microsoft
Septiembre 19, 03 by adminSwen es un destructivo gusano de propagación masiva a través mensajes de correo con asuntos, contenidos y archivos anexados aleatorios. Alguno de ellos simulan ser enviados por Microsoft y contener parches para sus sistemas operativos.
Se difunde además vÃa la red Peer to Peer Kazaa, redes con recursos compartidos y el IRC (Internet Chat Relay). Deshabilita antivirus, firewalls y sistemas de control.
Asimismo, este gusano infecta con tan sólo pre-visualizar el mensaje, aprovechando las vulnerabilidades MIME (Multipurpose Internet Mail Extensions) e iFrame de algunas versiones de Microsoft Outlook y Outlook Express que permiten que el archivo anexado sea ejecutado automáticamente, con la opción de Vista Previa.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Microsoft Visual C++ con una extensión de 104 KB.
Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envÃa a los buzones de correo extraÃdos de diversas fuentes contenidas en los sistemas infectados, como la Libreta de Direcciones de MS Outlook o las extraÃdas de otros ficheros.
[ . . . ]
Para propagarse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC e infectará a todos los usuarios que se conecten a una misma sesión.
Para infectar a través de las Redes con recursos compartidos, el gusano se auto-copia en la carpeta de Inicio (Startup) de estas unidades de red.
El parche para tanto el iFRAME exploit y el MIME exploit puede ser descargado de:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
El gusano tiene los siguientes payloads:
- Se propaga masivamente a través de su propio Servidor de Correo SMTP, extrayendo direcciones de diversas fuentes del sistema infectado y con una diversidad de formatos de mensajes.
- También usa aleatoriamente algunos servidores SMTP o uno extraÃdo del sistema infectado.
- Algunos de sus mensajes simulan contener actualizaciones o parches correctivos de Microsoft.
- Se difunde además vÃa la red Kazaa y los canales de Chat.
- Explota las vulnerabilidades MIME e iFrame que permiten infectar los sistemas con tan solo visualizar el mensaje.
- Termina los procesos de los antivirus y software de seguridad, dejando a los sistemas totalmente vulnerables a los virus y a ataques de intrusos.
- Se activa cada vez que se ejecutan archivos con extensiones .BAT, .COM, .EXE, .PIF, .REG, y .SCR
- Bloquea la ejecución del REGEDIT (editor de registros de Windows).
- Se propaga a través de unidades de Red con recursos compartidos.
- Captura la información digitada en un falso formulario y la envÃa a una dirección de correo, la misma que se encuentra cifrada o a servidores remotos vÃa HTTP.
Más información en http://www.perantivirus.com/sosvirus/virufamo/swen.htm
