|
Efectos:
Torvil.B produce los siguientes efectos: Termina procesos correspondientes a Windows, así como diversos programas antivirus, aplicaciones como firewalls, y programas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus o gusanos. Para ver una lista de los procesos terminados por Torvil.B, pulse aquí.
Metodo de infección:
Torvil.B crea los siguientes ficheros en el directorio de Windows: - SCHOST.EXE. Es una copia del gusano.
- SMSSxx.EXE y SPOOLxx.EXE, donde xx son dos letras aleatorias. Es una copia del gusano.
- MESSAGE.DAT y MESSAGE.HTM. Son ficheros temporales que se utilizan para propagarse a través del correo electrónico.
- MSG.ZIP. Es una copia del gusano, comprimida en formato ZIP.
Torvil.B crea la siguiente entrada en el Registro de Windows: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"Service Host"="%Windir%(Nombre de fichero).exe"
donde %Windir% es el directorio de Windows y Nombre de fichero es el nombre del fichero creado con dos letras aleatorias.
De este modo, Torvil.B consigue ejecutarse cada vez que se inicia Windows.
Torvil.B modifica las siguientes entradas del Registro de Windows: HKEY_LOCAL_MACHINE \ Microsoft\ Windows\ CurrentVersion\ Run
"Service Host"="%Windir%(Nombre de fichero).exe"
Modificando esta entrada, Torvil.B consigue ejecutarse cada vez que se inicia Windows. HKEY_CURRENT_USER\ batfile\ shell\ open\ command
"(Default)" %Windir%schost.exe "%1" %* HKEY_CURRENT_USER\ comfile\ shell\ open\ command
"(Default)" %Windir%schost.exe "%1" %* HKEY_CURRENT_USER\ exefile\ shell\ open\ command
"(Default)" %Windir%schost.exe "%1" %*
Con estas tres entradas, Torvil.B impide que el ordenador pueda ejecutar cualquier programa.
Metodo de propagación:
Torvil.B se propaga a través del correo electrónico, de los programas de intercambio de ficheros punto a punto (P2P), de redes y de los programa de chat mIRC e ICQ. 1.- Propagación a través del correo electrónico. Torvil.B realiza el siguiente proceso: Llega en un mensaje de correo electrónico con las siguientes características: Asunto. Será uno de los siguientes: CONGRATULATIONS!
DARLING
DO NOT RELEASE, ITS THE INTERNAL RLS!
DOCUMENTS
HERE¦S A NICE PICTURE
HERE¦S THE ARCHIVE YOU REQUESTED
HERE¦S THE DOCUMENT
HERE¦S THE DOCUMENT YOU REQUESTED
NEW INTERNAL RLS...
PR0N!
RETURNED MAIL--
UNDELIVERABLE MAIL--Contenido: FW:
HELLO,
HI,
RE:
NOMBRE_USUARIO seguido de una de las siguientes frases: ADULT CONTENT!!! USE WITH PARENTAL ADVISORY =)
CONGRATULATIONS!
DARLING
DO NOT RELEASE, ITS THE INTERNAL RLS!
DOCUMENTS
DONT GIVE IT AWAY...
HAVE A LOOK AT THE ATTATCHMENT.
HAVE A LOOK THE PIC ATTACHED !!
HERE¦S A NICE PICTURE
HERE¦S THE ARCHIVE YOU REQUESTED
HERE¦S THE DOCUMENT
HERE¦S THE DOCUMENT THAT YOU HAD REQUESTED.
HERE¦S THE DOCUMENT YOU REQUESTED
I HAVE A DOCUMENT ATTACHED,
ITS CONFIDENTIAL =)
NEW INTERNAL RLS...
PR0N!
REAL OUTTAKES FROM SEX IN THE CITY!!
RETURNED MAIL--
SEE THE ATTACHED FILE FOR DETAILS.
SEND ME YOUR COMMENTS.
THAT¦S THE ANSWER TO ALL YOUR QUESTIONS.
THE RELEASE FILE IS ATTACHED...
UNDELIVERABLE MAIL--
WHICH SHOULD SOLVE YOUR PROBLEMS
Fichero adjunto:
ATTACHMENT.ZIP
DOCUMENT.DOC.PIF
DOCUMENT1.DOC.PIF
FLT-IXB23.ZIP
FLT-XB5.RAR.PIF
MESSAGE.ZIP
PROBSOLV.DOC.PIF
Q723523_W9X_WXP_X86_EN.EXE
READIT.DOC.PIF
SEXINTHECITY.SCR
SEXY.JPG
TORVIL.PIF
WIN$HITRULEZ.PIF
YOURWIN.BAT
Si quiere comprobar los otros posibles mensajes de correo a través de los cuales se propaga Torvil.B, pulse aquí. 2.- Propagación a través de los programas de intercambio de ficheros punto a punto. Torvil.B realiza el siguiente proceso: - Crea copias de sí mismo en los directorios compartidos de los programas KaZaA y Xolox.
Concretamente, se copia con los siguientes nombres:
BEARSHARE PRO 4.3.0
BORLAND C++ BUILDERX 1.0 ENTERPRISE EDITION
HALO FLT
IMESH 4.2 AD REMOVER
MACROMEDIA CONTRIBUTE 2
MACROMEDIA STUDIO MX 2004 ALLAPPS
MCAFEE PERSONAL FIREWALL PLUS 2004
MCAFEE SPAMKILLER 2004
MCAFEE VIRUSSCAN HOME EDITION 2004
MICROSOFT OFFICE SYSTEM PROFESSIONAL V2003
NERO BURNING ROM V6.0.0.19 ULTRA EDITION
NETOBJECTS FUSION V7.5
NHL 2004
NORTON ANTISPAM 2004
NORTON ANTIVIRUS 2004
NORTON SYSTEMWORKS 2004
SOPHOS ANTIVIRUS V3.74
TVTOOL V8.31 - Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Torvil.B.
- Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Torvil.B.
3.- Propagación a través de redes. Torvil.B realiza el siguiente proceso: - Si el ordenador afectado forma parte de una red, intenta acceder a los recursos compartidos de red.
- Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
- Si consigue acceder, realiza copias de sí mismo en dichos recursos compartidos.
4.- Propagación a través de programas de chat. La infección a través de los programas de chat mIRC e ICQ sigue este patrón: Otros detalles:
Torvil.B está escrito en el lenguaje de programación Delphi versión 5. El gusano tiene un tamaño de 62464 Bytes cuando se encuentra comprimido mediante ASPack v2.12, y de 1178989 Bytes una vez descomprimido. Además, crea un mutex llamado Torvil, que solo se ejecuta una vez cuando permanece en memoria. |
