|
Efectos:
Gibe.C produce los siguientes efectos: - Finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos.
Para más información acerca de los procesos terminados, pulse aquí. - Si no encuentra información confidencial a través del correo electrónico, muestra mensajes por pantalla para tratar de conseguir dicha información confidencial del usuario afectado, como la dirección de correo electrónico, contraseñas de cuentas de correo, nombre de servidores de correo, etc.
- Desactiva el Editor de Registro de Windows.
Metodo de infección:
Gibe.C crea los siguientes ficheros en el directorio de Windows: Gibe.C crea varios ficheros en una carpeta con nombre aleatorio en el directorio C:\ WINDOWS\ TEMP. Estos ficheros son copias del gusano, o ficheros comprimidos en formato ZIP que contienen una copia del gusano. Los nombres aleatorios de estos ficheros siguen este patrón: Escoge nombres de una lista que se encuentra en su código : 10.000 SERIALS
AOL HACKER
COOKING WITH CANNABIS
EMULATOR PS2
HALLUCINOGENIC SCREENSAVER
HARDPORN
HOTMAIL HACKER
JENNA JAMESON
MAGIC MUSHROOMS GROWING
MY NAKED SISTER
SEX
SICK JOKE
VIRUS GENERATOR
XBOX EMULATOR
XP UPDATE
XXX PICTURES
XXX VIDEO
YAHOO HACKERRealiza combinaciones (Lista 1 + Lista 2 + Lista 3 + Lista 4) con palabras de las siguientes listas:
Lista 1:
BUGBEAR, GIBE, KLEZ, SIRCAM, SOBIG, YAHA
Lista 2:
CLEANER, FIXTOOL, REMOVAL TOOL, REMOVER
Lista 3:
DOWNLOAD ACCELERATOR, GETRIGHT FTP, KAZAA, KAZAA LITE, KAZAA MEDIA DESKTOP, MIRC, WINAMP, WINDOWS MEDIA PLAYER, WINRAR, WINZIP
Lista 4:
HACK, HACKED, INSTALLER, KEY GENERATOR, UPLOAD, WAREZ
Gibe.C crea las siguientes entradas en el Registro de Windows: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ENTRY NAME.EXE autorun
donde ENTRY es un nombre aleatorio de la entrada (8 caracteres) y NAME es un nombre aleatorio del fichero creado en el directorio de Windows.
Con ello, consigue ejecutarse cada vez que se inicia Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System "DisableRegistryTools" 1
Con ello, desactiva el Editor de Registro de Windows.
Gibe.C modifica las siguientes entradas en el Registro de Windows: - HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
"(Default)" NAME.EXE "%1" %* - HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
"(Default)" NAME.EXE "%1" %* - HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
"(Default)" NAME.EXE "%1" %* - HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
"(Default)" NAME.EXE "%1" %* - HKEY_CLASSES_ROOT\ scrfile\ shell\ config\ command
"(Default)" NAME.EXE "%1" - HKEY_CLASSES_ROOT\ scrfile\ shell\ open \command
"(Default)" NAME.EXE "%1" /S
Con ello, Gibe.C consigue ejecutarse cada vez que un fichero con extensión BAT, COM, EXE, PIF y SCR sea abierto. - HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command
"(Default)" NAME.EXE showerror
Con ello, no permite restaurar el Registro de Windows con un fichero que tenga extensión REG. A continuación, muestra el siguiente mensaje de error:
Metodo de propagación:
Gibe.C se propaga a través del correo electrónico, del programa de intercambio de ficheros (P2P) KaZaA, de unidades de red compartidas, por IRC y por el grupo de noticias. 1.- Propagación a través del correo electrónico. Cuando Gibe.C llega en un mensaje de correo electrónico, utiliza varios tipos de mensajes, cada uno con diferentes características: - Mensaje tipo 1:
Un mensaje en formato HTML que simula a la perfección la apariencia de la página web de Microsoft, para hacer creer al usuario que el fichero adjunto es un parche de seguridad.
Remitente:
Es ficticio y está compuesto de una combinación de palabras de los siguientes grupos:
MS, Microsoft
Corporation, Program, Internet, Network, Security
Division, Section, Department, Center, Technical,
Public, Customer
Bulletin, Services, Assistance, Support
Por ejemplo: MS Technical Assistance
La dirección también es ficticia y está formada por una combinación de palabras, siguiendo este patrón:
Texto aleatorio + @ + Palabra de la lista 1 + (. + Palabra de la lista 2) + dominio
Lista 1: support, technet, updates, advisor, confidence, bulletin, new, newsletter
Lista 2: ms, msdn, msn, microsoft
dominio: com o net
Por ejemplo: kadjfoie@technet.msdn.com
Asunto:
Está compuesto de una combinación de las siguientes palabras:
Current, Newest, Last, New, Latest
Net, Network, Microsoft, Internet
Security, Critical
Patch, Update, Pack, Upgrade
Mensaje:
Variable. El siguiente es sólo un ejemplo:
Lista 1: MS, Microsoft
Lista 2: User, Partner, Customer, Client
Lista 3: eliminates, resolves, fixes
Lista 4: newly discovered, new
Frase 1: continue keeping your computer secure
Frase 2: help
Frase 3: protect your computer
Frase 4: maintain the security of your computer
Frase 5: from these vulnerabilities
Frase 6: the most serious of which could allow an attacker/malicious user to run executable/code on your system/computer
El mensaje está formado por una combinación de palabras de las anteriores listas.
Palabra de la lista 1 + Palabra de la lista 2
This is the latest version of security update, the “%mes y año de la fecha del sistema%, Cumulative Patch" update which Palabra de la lista 3 all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three Palabra de la lista 4 vulnerabilities.
Install now to Combinación de frases: 1+5, 1+5+6, 2+3, 2+3+5, 2+3+5+6, etc. This update includes the functionality of all previously released patches.
Fichero adjunto:
Siempre tendrá extensión EXE y el nombre del fichero adjunto seguirá este patrón:
Palabra + número aleatorio, perteneciendo la palabra a la siguiente lista:
Q
Installer
Installation
Install
Update
Upgrade
Patch
Pack Mensaje tipo 2: Un mensaje que simula ser un error en el envío de un correo mandado por el usuario.
Remitente:
Puede ser original, uno de los siguientes: Admin, Administrator, Postmaster, o una combinación de las siguientes palabras: Delivery, Email, Inet, Internet, Mail, Message, Net, Network, Service, Storage, System.
La dirección está formada mediante el siguiente patrón:
Letra + Palabra de la lista 1 + Palabra de la lista 2 + @ + Palabra de la lista 3 + . + dominio
Letra: una letra de la A a la Z no siempre incluida.
Lista 1: email, mail, mailer, master, post, smtp, web
Lista 2: automat, bot, daemon, engine, form, program, robot, routine, service
Lista 3: America, AOL, bigfoot, freemail, microsoft, netmail, puremail, rocketmail, yahoo
Dominio: com, net
Por ejemplo: apostdaemon@netmail.net
Asunto:
Sigue uno de dos patrones:
Lista 1 + Lista 2
Lista 1: abort, bug, error, failure
Lista 2: advice, announcement, letter, message, notice, report
Por ejemplo: failure report
o también podría ser: Lista 3 + Lista 4 + : + Lista 5
Lista 3: returned, undelivered, undeliverable
Lista 4: mail, message
Lista 5: returned to Sender, returned to Mailer, user unknown
Por ejemplo: undelivered message: user unknown
Mensaje:
Realiza una combinación con las siguientes frases.
Frase 1: I'm afraid, I'm sorry to have to inform you that, I'm sorry, I wasn't able to deliver your message
Frase 2: the message returned below could not be delivered
Frase 3: to the following addresses, to one or more destinations
Frase 4: undeliverable, undelivered
Frase 5: message, mail
Phrase 6: to email, donde email es una dirección aleatoria de uno de los dominios America, AOL, bigfoot, freemail, microsoft, netmail, puremail, rocketmail, yahoo que tengan sufijo com o net.
Phrase 7: message follows
Fichero adjunto:
El fichero adjunto es un nombre aleatorio con extensión EXE, COM, SCR, BAT o PIF.- Mensaje tipo 3:
Algunas variantes realizan los siguientes cambios en los mensajes originales de este gusano:
- Los enlaces a la página web de Microsoft los cambia por la de un proveedor de servicios de Internet Italiano (cambia la página a la que se enlaza, pero no el texto del enlace).
- En el contenido del mensaje, el gusano cambia el texto que precede a la tabla de requisitos del sistema por Questo programma consente al vosto PC.
- Cambia la palabra Microsoft por la de un proveedor de servicios de Internet Italiano y por el nombre propio Renato.
A continuación, se muestran varios ejemplos de estas variaciones:
Ejemplo 1:
RENATO SORU FOR PRESIDENT THE BEST GUIDE IN SARDINIA OF ULIVO
RENATO SORU THE BEST web site.
http://WWW.TISCALINET.IT/
VOTA RENATO SORU VOTA RENATO SORU DAL SUPERMARKET AD INTERNET !!!
visit the Microsoft Security Advisor web site
http://www.tiscalinet.iT/security/
Thank you for VOTE RENATO SORU PRESIDs.
Please VOTE RENATO SORU message.
It was sent from an unmonitored e-mail address and we are unable to respond to any replies.
----------------------------------------------
I NOMI DELLE VOSTRE MOGLI SONO ARCHIVIATI PRESSO LA TISCALI PER GARANTIRLE UNA VITA SERENA E NEL COMUNISMO !!!!!.
Ejemplo 2:
tiscali SEX SERVICES PORN Services and Knowledge Base articles
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/
For security-related information about Microsoft products, please
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/
Thank you for using Microsoft products.
Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable to respond to any replies.
----------------------------------------------
The names of the actual companies and products mentioned
herein are the trademarks of their respective owners.
Cuando el usuario abre el fichero adjunto, o Gibe.C aprovecha la vulnerabilidad iFrame, el ordenador queda infectado. Gibe.C busca direcciones de correo electrónico en ficheros con extensión EML, WAB, DBX y MDX, y envía a las mismas una copia de sí mismo, empleando para ello su propio motor. 2.- Propagación a través de KaZaA. Gibe.C realiza el siguiente proceso: - Realiza copias de sí mismo en los directorios compartidos del programa de intercambio de ficheros (P2P) KaZaA.
Escoge nombres de una lista que se encuentra en su código:
10.000 SERIALS
AOL HACKER
COOKING WITH CANNABIS
EMULATOR PS2
HALLUCINOGENIC SCREENSAVER
HARDPORN
HOTMAIL HACKER
JENNA JAMESON
MAGIC MUSHROOMS GROWING
MY NAKED SISTER
SEX
SICK JOKE
VIRUS GENERATOR
XBOX EMULATOR
XP UPDATE
XXX PICTURES
XXX VIDEO
YAHOO HACKER O también podría elegir como nombre diversas combinaciones de palabras de las siguientes listas (Lista 1 + Lista 2 + Lista 3 + Lista 4):
Lista 1:
BUGBEAR, GIBE, KLEZ, SIRCAM, SOBIG, YAHA
Lista 2:
CLEANER, FIXTOOL, REMOVAL TOOL, REMOVER
Lista 3:
DOWNLOAD ACCELERATOR, GETRIGHT FTP, KAZAA, KAZAA LITE, KAZAA MEDIA DESKTOP, MIRC, WINAMP, WINDOWS MEDIA PLAYER, WINRAR, WINZIP
Lista 4:
HACK, HACKED, INSTALLER, KEY GENERATOR, UPLOAD, WAREZ - Otros usuarios de dichos programas podrán acceder de forma remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Gibe.C, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Gibe.C.
3.- Propagación a través de unidades de red compartidas. Gibe.C realiza el siguiente proceso: - Comprueba si el ordenador afectado se encuentra conectado a una red.
- Intenta acceder a unidades de red compartidas.
- Si lo consigue, realiza copias de sí mismo en el directorio de Inicio de dichas unidades compartidas.
4.- Propagación a través de IRC. Gibe.C realiza el siguiente proceso: - Sólo utiliza este método de propagación si encuentra el programa mIRC instalado.
- Espera hasta que el usuario se conecta a un canal de chat IRC.
- Envía una copia de sí mismo a todos los usuarios que se encuentren conectados al canal en ese momento.
5.- Propagación a través del grupo de noticias (NNTP). Gibe.C trata de conectarse a una lista de servidores localizados en el fichero SWEN1.DAT para propagarse a todas las direcciones de correo electrónico recogidas en el fichero GERMS0.DBV. Otros detalles:
Gibe.C está escrito en el lenguaje de programación Visual C++. El gusano tiene un tamaño de 106496 Bytes. Las variantes de este gusano tienen un tamaño de 52224 Bytes, comprimidas mediante UPX. |
