|
|
| Nombre: | W32/Cholera.Worm Alias: I-Worm.Cholera |
| Tipo: |
Gusano, crea el archivo rpcsvr.exe y modifica WIN.INI |
| Tamaño |
47 Kbytes aprox. |
| Origen: | España, Setiembre/1999 |
| Destructivo: | NO |
| En la calle (in the wild): | NO |
Descripción
W32/Cholera.worm y W32/CTX son las nuevas creaciones de Griyo del grupo Español 29A, este grupo es responsable de la mayoría de los virus para plataforma Windows existentes hoy en día, incluyendo Win32/Cabanas, Win95/Marburg, Win95/HPS.
W32/Cholera.worm es un gusano típico de Internet que utiliza el e-mail para autoenviarse, viaja en el archivo SETUP.EXE, no hay ningún mensaje en el e-mail excepto un carita sonriente ";-)".
W32/CTX es un virus polimórfico de 32bits, cada vez que un archivo infectado es ejecutado el virus infecta hasta 5 archivos en el folder actual, Windows y Windows\System.
Aunque ambos especímenes son diferentes y funcionan en forma separada (Cholera es un gusano y CTX un virus) , Griyo (el autor del virus) ha propagado sus creaciones en lo que él llama el "Proyecto Simbiosis", el cual consiste en propagar copias del archivo SETUP.EXE (utilizado por Cholera) infectado con el virus CTX.
W32/CHOLERA.WORM - INSTALACION
El gusano llega por E-mail en un attachment como Setup.exe, si el usuario abre (ejecuta) este archivo se activa el worm, lo primero que hace es crear el archivo RPCSRV.EXE en el folder de Windows y añade la entrada run=rpcsrv.exe en el archivo WIN.INI para que el gusano se ejecute automáticamente cada vez que se inicia Windows, después de esto el gusano comienza a buscar otras instalaciones de Windows en directorios \WINDOWS, \WIN95, \WIN98, \WIN, \WINNT, si ubica alguno, modifica el archivo win.ini de este directorio añadiendo el comando run=rpcsrv.exe
Terminada su instalación muestra un mensaje para engañar al usuario que el archivo setup.exe está dañado (este truco es similar al empleado por el gusano W32/ExploreZip)
W32/CHOLERA.WORM - PROPAGACION
La siguiente vez que se inicia Windows se ejecuta el gusano desde el archivo RPCSRV.EXE, en esta ocasión el gusano no muestra ningún mensaje y crea 2 procesos simultáneos corriendo en background:
1- En el primer proceso al igual que en la instalación original el gusano busca instalaciones de Windows pero esta vez en UNIDADES de RED, si encuentra alguna instalación de windows, copia el archivo RPCSRV.EXE y modifica el archivo win.ini del disco de la red.
2- El segundo proceso envia archivos infectados por E-Mail, el gusano no trabaja con ningún lector de correo específico como OutLook, Exchange ó Eudora sino que tiene su propio manejador SMTP.
Para saber a que víctimas enviar el archivo setup.exe, el gusano busca archivos .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX y extrae todas las direcciones E-mail que encuentre.
NOTAS:
-El archivo SETUP.EXE propagado originalmente por Griyo/29A está infectado con el virus W32/CTX, con lo que al abrir el archivo setup.exe el usuario también será infectado con este virus (mas información en W32/CTX).
- El gusano no necesita del virus W32/CTX para propagarse por e-mail. Es posible encontrar en el futuro copias de SETUP.EXE sin Win32/CTX.
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú