| Nombre común: Xorer.O
Nombre técnico: W32/Xorer.O.worm
Peligrosidad: Media
Tipo: Gusano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95/3.X
Fecha de detección: 28/02/2008
Detección actualizada: 28/02/2008
¿Está en circulación? Si
Descripción Breve
Xorer.O es un gusano que afecta únicamente a ordenadores que pertenezcan a una red local e intercepta los paquetes de red que se envíen desde el ordenador infectado y los modifica. Como consecuencia de ello, la página web que el usuario haya solicitado aparecerá alterada, con una ventana publicitaria en la parte inferior derecha.
Además finaliza procesos pertenecientes a programas antivirus y cortafuegos.
Xorer.Ose propaga a traves de unidades locales, extraibles y mapeadas, realizando copias de si mismo. Ademas, crea un archivo AUTORUN.INF en estas unidades, para ejecutarse cuando se acceda a alguna de estas unidades.
Síntomas Visibles
Xorer.O es dificil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.
Sin embargo, como Xorer.O afecta únicamente a ordenadores que formen parte de una misma red local, sí se podran apreciar sintomas en otros ordenadores.
Efectos
Xorer.O realiza las siguientes acciones:
Comprueba si hay conexion a Internet disponible. Si es asi, descarga dos archivos de la pagina web http://js.k02.com.
Los archivos que descarga son:
- DATA.GIF, que es una actualizacion de si mismo.
- ANTITOOL.EXE, que suelta varios archivos correspondientes a las librerias de captura y monitorizacion de paquetes de red denominadas Winpcap y un archivo malicioso denominado ALG.EXE.
Este archivo malicioso se encarga de interceptar los paquetes de red que se envíen desde los ordenadores y modificarlos. Los únicos que modifica son los correspondientes al protocolo HTTP y afecta unicamente a ordenandores que formen parte de una misma red local.
Como consecuencia de ello, la página web que el usuario haya solicitado aparecerá alterada, con una ventana publicitaria en la parte inferior derecha de la pagina web, como se ve en la siguiente imagen:
Esto no quiere decir que esos ordenadores estén infectados por Xorer.O, sino que en la red en la que están integrados, hay un ordenador que está infectado. Concretamente, en ese ordenador las páginas web visitadas no presentarán esta anomalía.
Para ello, utiliza las librerías de captura y monitorización de paquetes de red denominadas Winpcap.
Una vez que intercepta los paquetes de red, los envía al router, el router se los devuelve al gusano, esté los modifica, inyectando un script en el codigo HTML de la pagina web y finalmente se envían al usuario que los solicitó.
Utiliza varias tecnicas para dificultar su deteccion:
- Utiliza un rootkit para ocultar los archivos que crea.
- Oculta los archivos del sistema operativo.
Finaliza los procesos que contengan alguna de las siguientes cadenas de texto:
#32770
360anti
360safe
AfxControlBar42s
antivir
bitdefender
cabinetwclass
dr.web
escan
ewido
facelesswndproc
firewall
ieframe
mcagent
metapad
monitor
mozillauiwindowclass
SREng
tapplication
thunderrt6formdc
thunderrt6main
ThunderRT6Timer
Estos procesos pertenecen a programas antivirus y cortafuegos.
Metodo de Infección
Xorer.O crea los siguientes archivos en el directorio raiz de todas las unidades del sistema:
una copia de si mismo con los nombres PAGEFILE.PIF y 037589.LOG.
un archivo AUTORUN.INF, para ejecutarse cada vez que se acceda a alguna de las unidades.
Ademas, crea los siguientes archivos, que son copias de si mismo:
LSASS.EXE, en la subcarpeta Com del directorio de sistema de Windows.
~????.EXE, en el directorio de Inicio. De esta manera, consigue ejecutarse cada vez que Windows se inicia.
donde ???? representa cuatro caracteres aleatorios.
Tambien crea los siguientes archivos:
NETAPI000.SYS, en el directorio raiz de la unidad C:. Este archivo corresponde a un rootkit, que se utiliza para ocultar los archivos creados por el gusano.
NETCFG.000, NETCFG.DLL y SMSS.EXE, en la subcarpeta Com del directorio de sistema de Windows.
DNSQ.DLL, en el directorio de sistema de Windows.
Xorer.O modifica las siguientes entradas del Registro de Windows, para dificultar su deteccion:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced Folder SuperHidden
Type = checkbox
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced Folder SuperHidden
Type = radio ox b o x WinRARWinRAR.exe" "%1" R A R W i n R A R . e x e "
"????. e x e " % 1 m s S t a r t u p
donde ???? representa cuatro caracteres aleatorios y corresponde a una copia de si mismo.
De esta manera, oculta la copia de si mismo creada en el directorio de Inicio.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced
ShowSuperHidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced
ShowSuperHidden = 00, 00, 00, 00
Oculta los archivos del sistema operativo.
Xorer.O elimna las siguientes entradas del Registro de Windows para evitar que el sistema pueda reiniciarse en cualquiera de los modos seguros disponibles:
HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control SafeBoot Minimal {4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control SafeBoot Network {4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot Minimal {4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot Network {4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
Tambien elimina todas las entradas con la ruta HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run. Mediante estas entradas, se asegura la ejecucion con cada reinicio del sistema de los archivos incluidos en las mismas. De esta manera, al eliminarlas, no podrán ejecutarse automaticamente cuando se reinicie el ordenador.
Método de Propagación
Xorer.O se propaga a traves de unidades locales, extraibles y mapeadas, realizando copias de si mismo. Ademas, crea un archivo AUTORUN.INF en estas unidades, para ejecutarse cuando se acceda a alguna de estas unidades.
Otros Detalles
Xorer.O es un gusano que tiene un tamaño de 95744 Bytes.
|
|
