W32/Gibe-F

Vea la información para eliminar gusanos.

Vea las instrucciones para la desinfección del gusano W32/Gibe-F y para asegurarse de que su sistema está protegido.

W32/Gibe-F es un gusano que se extiende a través de email mediante su propio motor SMTP a las direcciones encontradas en el equipo infectado. También se extiende a través de la red de intercambio de archivos KaZaA y a través de canales IRC. Además, se copiará en la carpeta de inicio de las unidades de red compartidas a las que tenga acceso. W32/Gibe-F incluso puede extenderse a través de grupos de noticias usenet (NNTP).

W32/Gibe-F intentará engañar al usuario para obtener los datos de su cuenta de correo mostrando un falso mensaje de error en los que pide el nombre de usuario, la contraseña, la dirección email y el nombre del servidor.

Si el gusano se ejecuta desde un archivo cuyo nombre comience con las letras P,Q,U o I (mayúsculas o minúsculas), W32/Gibe-F mostrará el mensaje:

"Microsoft Internet Update Pack This update does not need to be installed on this system"

"This will install Microsoft Security Update. Do you wish to continue?"

También podría pretender ser parte de un programa de instalación y mostrar cuadros de diálogo con los siguientes títulos:

"Searching for installed components ..." "Extracting files ..." "Copying files ..." "Updating registry ..."

Si W32/Gibe-F detecta un programa debugger activo en memoria, mostrará el mensaje "Try to pull my legs?".

El gusano se copia en la carpeta de Windows con un nombre aleatorio ejecutable (como jlfsm.exe) y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

El gusano también modifica las siguientes entradas en el registro:

HKCR\exefile\shell\open\command HKCR\regfile\shell\open\command HKCR\comfile\shell\open\command HKCR\batfile\shell\open\command HKCR\piffile\shell\open\command HKCR\scrfile\shell\open\command HKCR\scrfile\shell\config\command

para ejecutarse delante de archivos EXE, COM, PIF, BAT y SCR, y muestra un mensaje de error falso (como "Error occurred Memory access violation in module kernel32 at <número>:<número>") mientras se lee archivos REG

El gusano modificará varias entradas en el registro para marcar su instalación, confirmar la infección de la carpeta compartida en KaZaA y para evitar la ejecución de REGEDIT.EXE.

W32/Gibe-F también podría crear el archivo SWEN1.DAT en la carpeta de Windows con una lista de direcciones IP y nombres de dominios que pudieran disponer de servidores NNTP.

W32/Gibe-F también intentará aprovecharse de una vulnerabilidad en productos de Microsoft que permite la ejecución automática de archivos adjuntos al leer un mensaje. Microsoft creó un parche para solucionar este problema en 2001 y que podrá descargar desde www.microsoft.com/technet/security/bulletin/MS01-027.asp. Este parche corrige este y otros agujeros de seguridad en productos de Microsoft.

El mensaje en el que llega el gusano tendrá las siguientes características:

De: podría incluir el nombre del destinatario o un nombre compuesto con

unknown Microsoft Support Assistance Services Bulletin Customer Public Technical Center Department Section Division Security Network Internet Program Corporation Microsoft MS Domain Server Receiver Recipient Client Receiver Recipient Puremail America Netmail Freemail Bigfoot Rocketmail Routine Program Daemon Automat Engine Service Mailer master System Service Delivery Storage Message Email Postmaster Administrator

seguido de

bulletin confidence advisor updates technet support, newsletters ms msn microsoft msdn .com .net

(por ejemplo, MS Support Department <aleatorio>@support.microsoft.com)

Para: nombre aleatorio compuesto con

User Client Consumer Partner Customer Commercial Corporation Microsoft MS

Asunto: aleatorio compuesto con

Corp. Corporation comes which Internet Explorer Windows update package correction corrective security critical internet important these Install Apply Watch Take a look at Look at Try on Taste Prove Check out Check Upgrade Update Critical Latest Newest Current M$ MS from comes came which this that these the See Watch Use Apply

Mensaje: aleatorio compuesto con

MS Microsoft Customer, this is the latest version of security update, the , Cumulative Patch update which This update includes the functionality of all previously released patches. computer system on your executable to run malicious user attacker the most serious of which could allow an from these vulnerabilities maintain the security of your computer protect your computer continue keeping your computer secure Install now to vulnerabilities newly discovered as well as three all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express eliminates resolves

El archivo adjunto (con extensión EXE, COM, PIF, BAT, SCR o ZIP) tendrá un nombre aleatorio o alguno de los siguientes

PATCH UPDATE UPGRADE INSTALL

W32/Gibe-F se copia en al carpeta compartida de KaZaA y en la carpeta de Windows con diferentes nombres aleatorios utilizando las siguientes frases y extensión EXE o ZIP (por ejemplo, "WINZIP UPLOAD.EXE"):

Virus Generator Magic Mushrooms Growing Cooking with Cannabis Hallucinogenic Screensaver My naked sister XXX Pictures Sick Joke", XXX Video XP update Emulator PS2 XboX Emulator HardPorn Jenna Jameson Hotmail hacker Yahoo hacker AOL hacker fixtool cleaner removal tool remover Sircam Bugbear installer upload hacked key generator Windows Media Player GetRight FTP Download Accelerator Winamp WinZip WinRar KaZaA media desktop Kazaa Lite

W32/Gibe-F intentará detener diferentes procesos relacionados con productos antivirus o de seguridad (como sweep95, zonealarm o blackice).