NUEVA VERSION 1.2 DE LA UTILIODAD ELIGEDZA,(ALIAS GAGGLE.E)

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

NUEVA VERSION 1.2 DE LA UTILIODAD ELIGEDZA,(ALIAS GAGGLE.E)

Mensaje por msc hotline sat » 14 Abr 2004, 19:29

Tras la Semana Santa vemos que antivirus como Norton detectan el virus VBS/GEDZA con el alias de GAGGLE.E, por ser de los mismos autores, GEDZAC LABS del Perú.



Como sea que los señores de vsantivirus han traducido lel análisis de Symantec al castellano, ofrecemos la información al respecto, sobre la que hemos mejorado nuestra utilidad ELIGEDZA con la versión 1.2, que además de contemplar eliminación de nuevas extensiones que tambien son sobreescritas por dicho virus, hemos ampliado la limpieza de muchos ficheros que en la propia descripcion indican que deben borrarse, mientras que con nuestra utilidad pasamos a limpiarlas quitandoles el virus a los ficheros en cuestión, pero manteniendo dichos ficheros sin necesudad de borrarlos y requerir volver a restaurarlos.



Los ficheros que limpiamos, contra lo que indica el informe en cuestión, son los de las siguientes extensiones, afectados por dicho virus:



*.HTA, *.HTM, *.HTML, *:PHP, *.SHTM, *.SHTML, *.PHTM, *.PHTML, *.MHT, *.MHTML, *.^LG y *.HTX



mientras que las siguientes extensiones sí que son sobreescritas por el código vírico y son eliminados, debiendo restaurarse del original o copia de seguridad:



*,VBS, *.VBE, *.JS, *.JSE,



Por otro lado la nueva versión analiza el contenido de ficheros ZIP, y elimina de su interior los ficheros FILE.VBS que el virus ha introducido en ellos, dejando el resto del ZIP integro, si bien los ficheros ZIP creados por el virus en los que unicamente existe el fichero FILE.VBS, son eliminados totalmente, como debe ser al ser propiamente del virus.



De todas formas este virus dá mucho de sí, y no será esta la última version, pues nos queda por controlar lo que hace con el MIRC y lo que intenta, que no se ha comprobado que haga, con los ficheros de Word y Excel en los que puede cambiar o generar macros.



La correspondiente informacion traducida por vsantivirus dice así:



_________________________________



Nombre: VBS/Gaggle.E

Tipo: Gusano de Internet y virus

Alias: VBS.Gaggle.D, I-Worm.Gedza, VBS/Gedza.A

Plataforma: Windows 32-bits

Fecha: 6/abr/04

Tamaño: (varios) 260 Kb, 30,721 bytes, 17,409 bytes

Reportado por: Symantec



Este gusano se propaga a través del correo electrónico, del IRC utilizando el mIRC, del ICQ y también a través de algunas redes P2P.



Cuando se ejecuta, crea las siguientes copias de si mismo:

c:\windows\system\backup.vbs

c:\windows\system\file.vbs

c:\windows\system\filezip.zip

c:\windows\system\gedzac.vbs

c:\windows\system\israfel.vbs

c:\windows\system\kernel32.win

c:\windows\system\mouse_configurator.win

c:\windows\system\pubprn.vbs

c:\windows\system\template.htm

c:\windows\system\winmgd.win



El archivo .HTM contiene el gusano embebido en su código, y el archivo .ZIP lo contiene comprimido dentro de él.



También crea los siguientes archivos:



c:\estigma.hta

c:\windows\system\avrillavigne.jpg

c:\windows\system\iw.dat

c:\windows\system\iwn.dat

c:\windows\system\ix.dat

c:\windows\system\ixn.dat

c:\windows\system\pkzip.exe

c:\windows\system\regsrv.exe

c:\windows\system\sendi.exe



En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).



También copia el archivo COMMAND.COM o CMD.EXE de Windows (según el sistema operativo), a todos los discos duros, con el nombre ISRAFEL.EXE, en la siguiente ubicación:



\inetpub\scripts\israfel.exe



Crea el archivo IISROOT.ASP en las siguientes carpetas y subcarpetas:



\inetpub\wwwroot\iisroot.asp



Crea las siguientes entradas en el registro de Windows para auto ejecutarse en cada reinicio del sistema:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Kernel32 = c:\windows\system\kernel32.win

Israfel = c:\windows\system\israfel.vbs



También crea o modifica las siguientes entradas:



HKEY_CLASSES_ROOT\regfile\shell\open\command

(Predeterminado)= "GEDZAC"



HKEY_CLASSES_ROOT\keyfile\shell\open\command

(Predeterminado)= "GEDZAC"



HKCU\Software\Microsoft

\Windows Scripting Host\Settings

Timeout = "0"



HKLM\Software\Microsoft

\Windows Scripting Host\Settings

Timeout = "0"



HKCU\Software\Microsoft\Windows

\CurrentVersion\Policies\System

DisableRegistryTools = "1"



HKCU\Software\Microsoft\WindowsNT

\CurrentVersion\Policies\System

DisableRegistryTools = "1"



HKLM\Software\Microsoft\Windows

\CurrentVersion\Policies\System

DisableRegistryTools = "1"



HKLM\Software\GEDZAC LABS\Israfel\Parent



HKLM\Software\GEDZAC LABS\VBS.Israfel\Info



Crea o modifica la entrada SHELL bajo [boot] en C:\WINDOWS\SYSTEM.INI:



[boot]

shell = explorer.exe c:\windows\system\winmgd.win



Crea o modifica la entrada RUN bajo [windows] en C:\WINDOWS\WIN.INI:



[windows]

run = c:\windows\system\mouse_configurator.win



Cuando se ejecuta, despliega el archivo AVRILLAVIGNE.JPG, una imagen con la popular cantante:







Si la fecha del sistema es el tercer día de cualquier mes, se despliega el archivo C:\ESTIGMA.HTA, el cuál solo contiene un texto.



Si la fecha actual es el día 19 de cualquier mes, se muestra una ventana con el siguiente texto:



19/12/2003 - Saludos a Cienciano Campeon

2003 de la Copa Sudamericana



Si la fecha es el día 11 de cualquier mes, se muestra una ventana con el siguiente texto:



Luego del alevoso ataque de eeuu y sus aliados

contra Iraq, aun tiene bush el descaro de decir

que lo hizo por libertar al pueblo o por la

democracia, como si eso le interesara, solo le

interesa tener gobiernos titeres y el petroleo

(investiguen sobre su dizque reconstruccion

de Iraq), desde los 90 que se pretendia derrocar

al gobierno de Iraq, quien le dio el derecho de

decidir que gobiernos deben ser derrocados o no,

acaso se cree el policia del mundo, una de las

frases favoritas del Asesino de bush, es el

'origen del mal' el es eso. Y para terminar otra

de sus frases 'que Dios bendiga a los eeuu' ojala

lo haga porque lo van a nesecitar, porque algun

dia eeuu pagara por querer decirle al mundo como

tiene que vivir (Mensage en contra del Gobierno

de eeuu, no del pueblo)



Si la fecha es 26 de cualquier mes, se muestra el siguiente mensaje:



Soy una ballena de color azúl mi espalda sopla y

tu ves esa fuente de agua limpia aún. Nuestra casa

abierta, era el ancho mar Viajábamos en paz, sin

manchas de petróleo que evitar Busco un sitio puro

donde descansar no hay muchas como yo me tengo que

cuidar de ti. Nubes blancas, cielo transparente y el

humano compartiendo con otros, un sueño que quizás

ya no regrese pues ya es tarde para todos nosotros

Soy el cóndor majestuoso del Perú, mi cuello gira y

tú me miras con ojos de luz. Busco un sitio alto

donde recordar que hubo un tiempo mejor, pues como

yo no quedan más Si tus hijos te preguntan cómo fui,

no sé que les dirás, me tuve que alejar de ti

Cordilleras blancas dominando, todo ser que se

alimenta del río hombres en aldeas cultivando, sin

decirle al campo dame lo que es mío Estás equivocado,

no sabes dónde vas guanacos, osos panda, renos,

águilas, delfines y todo lo demás Estás equivocado

no sabes dónde vas un espíritu ronda por la selva

llorando lo que fue el jaguar bienvenido al mundo

del hombre construído con detergentes y también con

alquitrán Soy una ballena de color azúl mi espalda

sopla y tú ves esa fuente de agua limpia aún

(Cancion perteneciente a 'Los Nosequien y Los

Nosecuantos') El 26 de Abril es el día de la Tierra,

protegela



Si la fecha actual es 29 de cualquier mes, el gusano abre el sitio de la cantante Avril Lavigne:



http://www.avril-lavigne.com



Consulta al registro por si existe la utilidad P2P, SoulSeek. Si la encuentra, obtiene la ubicación de la carpeta compartida con otros usuarios de esta aplicación P2P, y copia allí el archivo FILEZIP.ZIP conteniendo una copia de si mismo. También lo copia en las siguientes carpetas (aquellas que existan):



c:\my downloads

c:\my shared folder

c:\program files\applejuice\incoming

c:\program files\bearshare\shared

c:\program files\edonkey2000\incoming

c:\program files\gnucleus\downloads

c:\program files\grokster\my grokster

c:\program files\icq\shared files

c:\program files\kazaa\my shared folder

c:\program files\kazaa lite\my shared folder

c:\program files\kmd\my shared folder

c:\program files\limewire\shared

c:\program files\morpheus\myshared folder

c:\program files\overnet\incoming

c:\program files\shareaza\downloads

c:\program files\swaptor\download

c:\program files\winmx\my shared folder

c:\program files\tesla\files

c:\program files\xolox\downloads

c:\program files\rapigator\share

c:\archivos de programa\applejuice\incoming

c:\archivos de programa\bearshare\shared

c:\archivos de programa\edonkey2000\incoming

c:\archivos de programa\gnucleus\downloads

c:\archivos de programa\grokster\my grokster

c:\archivos de programa\icq\shared files

c:\archivos de programa\kazaa\my shared folder

c:\archivos de programa\kazaa lite\my shared folder

c:\archivos de programa\kmd\my shared folder

c:\archivos de programa\limewire\shared

c:\archivos de programa\morpheus\myshared folder

c:\archivos de programa\overnet\incoming

c:\archivos de programa\shareaza\downloads

c:\archivos de programa\swaptor\download

c:\archivos de programa\winmx\my shared folder

c:\archivos de programa\tesla\files

c:\archivos de programa\xolox\downloads

c:\archivos de programa\rapigator\share



Utiliza para la copia de FILEZIP.ZIP, los siguientes nombres:



acdsee 5.5.zip

age of empires 2 crack.zip

ana kournikova sex video.zip

animated screen 7.0b.zip

aol cracker.zip

aol instant messenger.zip

aol password cracker.zip

aquanox2 crack.zip

audiograbber 2.05.zip

avp antivirus pro key crack.zip

babefest 2003 screensaver 1.5.zip

babylon 3.50b reg_crack.zip

battlefield1942_bloodpatch.zip

battlefield1942_keygen.zip

britney spears sex video.zip

buffy vampire slayer movie.zip

business card designer plus 7.9.zip

cable modem ultility pack.zip

clone cd 5.0.0.3 (crack).zip

clone cd 5.0.0.3.zip

coffee cup free zip 7.0b.zip

cool edit pro v2.55.zip

counter-strike.zip

crack passwords mail.zip

credit card numbers generator(incl visa,mastercard,...).zip

cristina aguilera sex video.zip

delphi.zip

diablo 2 crack.zip

directdvd 5.0.zip

directx buster (all versions).zip

directx infotool.zip

divx pro.zip

divx video bundle 6.5.zip

divx_pro.zip

download accelerator plus 6.1.zip

dvd copy plus v5.0.zip

dvd region-free 2.3.zip

edonkey2000-speed me up scotty.zip

fifa2003 crack.zip

final fantasy vii xp patch 1.5.zip

flash mx crack (trial).zip

flashget 1.5.zip

freeram xp pro 1.9.zip

game cube real emulator.zip

getright 5.0a.zip

global divx player 3.0.zip

gothic2 licence.zip

gta 3 crack.zip

gta 3 serial.zip

guitar chords library 5.5.zip

hentai anime girls movie.zip

hitman_2_no_cd_crack.zip

hot babes xxx screen saver.zip

hotgirls.zip

hotmail hacker 2003-xss exploit.zip

hotmail_hack.zip

icq pro 2003a.zip

icq pro 2003b (new beta).zip

imesh 3.6.zip

imesh 3.7b (beta).zip

irfanview 4.5.zip

jenifer lopez sex video.zip

kazaa hack 2.5.0.zip

kazaa sdk + xbit speedup for 2.xx.zip

kazaa speedup 3.6.zip

links 2003 golf game (crack).zip

living waterfalls 1.3.zip

macromedia dreamweaver key generator.zip

mafia_crack.zip

matrix movie.zip

matrix screensaver 1.5.zip

mcafee antivirus scan crack.zip

mediaplayer update.zip

microsoft keygenerator-allmost all microsoft stuff.zip

mirc 6.40.zip

mp3trim pro 2.5.zip

msn messenger 5.2.zip

nba2003_crack.zip

need 4 speed crack.zip

nero burning rom crack.zip

netbios nuker 2003.zip

netfast 1.8.zip

network cable e adsl speed 2.0.5.zip

nhl 2003 crack.zip

nimo codecpack (new) 8.0.zip

norton anvirus key crack.zip

paltalk 5.01b.zip

pamela_anderson.zip

panda antivirus titanium crack.zip

play station emulator.zip

popup defender 6.5.zip

pop-up stopper 3.5.zip

ps2 playstation simulator.zip

quick time key crack.zip

quicktime_pro_crack.zip

sakura card captor movie.zip

screen saver christina aguilera naked.zip

screen saver christina aguilera.zip

security-2003-update.zip

serials 2003 v.8.0 full.zip

serials2000.zip

sex live simulator.zip

sex passwords.zip

smartftp 2.0.0.zip

smartripper v2.7.zip

space invaders 1978.zip

spiderman movie.zip

splinter_cell_crack.zip

starcraft serial.zip

start wars trilogy movies.zip

steinberg_wavelab_5_crack.zip

stripping mp3 dancer+crack.zip

subseven.zip

thalia sex video.zip

trillian 0.85 (free).zip

tweakall 3.8.zip

unreal2_bloodpatch.zip

unreal2_crack.zip

ut2003_bloodpatch.zip

ut2003_keygen.zip

ut2003_no cd (crack).zip

ut2003_patch.zip

vb6.zip

virtua girl - adriana.zip

virtua girl - bailey short skirt.zip

virtua girl (full).zip

virtualsex.zip

visual basic 6.0 msdn plugin.zip

visual basic 6.zip

warcraft 3 crack.zip

warcraft 3 serials.zip

warcraft_3_crack.zip

winamp 3.8.zip

winamp plugin pack.zip

windowblinds 4.0.zip

windows xp complete + serial.zip

windows xp exploit.zip

winoncd 4 pe_crack.zip

winrar 3.xx password cracker.zip

winzip 9.0b.zip

winzip full version key generator.zip

winzip keygenerator crack.zip

winzipped visual c++ tutorial.zip

xnuker 2003 2.93b.zip

yahoo messenger 6.0.zip

zelda classic 2.00.zip



El gusano busca direcciones electrónicas en la libreta de direcciones y en archivos con las siguientes extensiones de la máquina infectada:



.hta

.htm

.html

.htx

.mht

.mhtml

.php

.phtm

.phtml

.plg

.shtm

.shtml



Las direcciones encontradas, son almacenadas en los siguientes archivos dentro de la carpeta TEMP:



\TEMP\imh.dat

\TEMP\iml.dat

\TEMP\imv.dat



NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.



El gusano es capaz de sobrescribir archivos con las siguientes extensiones, con una copia de si mismo:



.hta

.htm

.html

.htx

.js

.jse

.mht

.mhtml

.php

.phtm

.phtml

.plg

.shtm

.shtml

.vbe

.vbs



Si existe, sobrescribe el archivo MIRC.INI, para poder enviarse a otros usuarios de los canales de chat visitados por el usuario infectado.



También genera direcciones IP al azar, e intenta conectarse a dichas direcciones, utilizando los siguientes nombres de usuario y contraseñas:



!@#$

!@#$%

!@#$%^

!@#$%^&

!@#$%^&*

!@#$%^&*(

!@#$%^&*()

<en blanco>

<Enter>

<nombre de la computadora>

<nombre de usuario>

000000

00000000

1

111

11111

111111

11111111

123

1234

12345

123456

1234567

12345678

1234qwer

123abc

123asd

123qwe

22

5201314

54321

654321

888888

88888888

abc

abc123

abcd

admin

asdf

asdfgh

computer

database

default

intel

Internet

KKKKKKK

manager

name

nombre_de_usuario

nombre_de_usuario12

nombre_de_usuario123

nombre_de_usuario1234

nulo

oracle

passwd

password

private

public

root

secret

security

server

sql

super

sybase

test

user



Se copia a si mismo a la máquina remota con el nombre de AUTORUN.VBS, y sobrescribe el archivo AUTOEXEC.BAT.



También en la máquina remota, agrega la siguiente entrada en el archivo WIN.INI bajo la etiqueta [windows]:



[windows]

run = autorun.vbs



Si hay un disquete insertado, intenta sobrescribir todos los archivos con extensión .VBS en la unidad de disquetes A, con una copia de si mismo. Si no existen archivos .VBS, se copia en el disquete con alguno de los siguientes nombres (algunos con doble extensión):



a:\document.txt.vbs

a:\image.jpg.vbs

a:\israfel.vbs

a:\loreley.jpg.vbs

a:\vigilancia.txt.vbs



Utiliza luego el componente SENDI.EXE, copiado antes en la carpeta System, para enviarse a todos los correos electrónicos previamente recolectados. Para ello utiliza el servidor SMTP de la víctima, o en su defecto alguno de los siguientes:



mx1.latinmail.com

mx1.hotmail.com



Los mensajes poseen las siguientes características:



De: [seleccionado al azar de la lista de direcciones]

Datos adjuntos: filezip.zip



Asunto: [al azar]



Texto del mensaje: [al azar]



El texto puede comenzar con alguna de las siguientes cadenas:



===================Mcaffe Virus Scan===================

Resultado del Análisis: Mensaje y Adjunto libre de virus

====================================================



===================Mcaffe Virus Scan===================

Result gives the Analysis: Message and Added free he gives virus

====================================================



Ejemplos:



Asunto: Postal Animada

Texto del mensaje:

Ha recibido una postal desde esta direccion

para verla descarguela antes de 7 dias de recibido

este e-mail Un Servicio de FreeCards



Asunto: Cartoons

Texto del mensaje:

Nuestra pagina de Cartoons viene recargada

mira este que se titula: El inofensivo pajarito



Asunto: Free ScreenSaver

Texto del mensaje:

Mira este screensaver, y si te gusta, visita

nuestra page :)



Asunto: FordWare

Texto del mensaje:

Sabes lo que es el FordWare?, entonces mira este



Asunto: Espero te guste

Texto del mensaje:

Mira la postal =)



Asunto: Esta es buena

Texto del mensaje:

Haber que te parece a ti?



Asunto: Aviso Importante

Texto del mensaje:

Debido a la nueva politica del servidor, se pide a

los usuarios completar el nuevo registro a fin de

poder conservar sus cuentas de correo



Asunto: Sexo Tantrico

Texto del mensaje:

Conoces el sexo tantrico?

Tantra: Antigua disciplina oriental para mejorar

el rendimiento sexual

Aprendelo y nota la diferencia.



Asunto: Significado de los nombres

Texto del mensaje:

Quieres saber el significao de tu nombre, o

apellido o de donde proviene?



Asunto: Manual Seduccion

Texto del mensaje:

Quieres conquistar una pareja?, prueba con estos

consejos



Asunto: ilusiones

Texto del mensaje:

Mira la foto adjunta 20 segundos y veras algo



Asunto: Hi

Texto del mensaje:

Te envio las imagenes que pediste, bye



Asunto: Help me

Texto del mensaje:

please open file



Asunto: Mail Return System

Texto del mensaje:

El correo no pudo ser enviado a uno o más

destinatarios.



Asunto: Fotos en tu email

Texto del mensaje:

XXX Todo Vale XXX



En todos los casos el adjunto es FILEZIP.ZIP





________________________________________



Evidentemente los cambios en registro, ficheros *.INI, eliminacion de ficheros gusano tras detener el virus en memoria, restablecimiento del acceso a la edicion del registro y demás, ya lo corregíamos en anteriores versiones y lo seguimols haciendo en la actual, naturalmente.



Aforunadamente son pocos los casos (relativamente comparados con el NetSky, que tenemos de este virus, y mejor que los antivirus lo vayan conociendo y controlando, pues si llegara una infección masiva, por una serie de caracteristicas sería temible.



Se recuerda que la uitilidad en cuestión se puede descargar de:



https://foros.zonavirus.com/viewtopic.php?p=1482#1482





saludos



ms, 14-04-2004

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 Abr 2004, 10:56

Renovada la version 1.2 por la 1.2B para eliminar el falso positivo con el fichero PUBPRN.VBS existente en el directorio del sistema del XP, el cual es sobreecrito por el virus, y que en el caso de haber sido el caso, ya lo detectará la exploración de la utilidad ELIGEDZA.EXE, en lugar de eliminarlo de entrada como archivo creado o sobreescrito por dicho virus, por existir originalmente en algunos sistemas operativos.



De todas formas se recuerda que todos los VBS son sobreescritos por dicho virus, por lo que los de sistema y aplicaciones necesarios, incluidos este, deberán ser restaurados desde original o copia de seguridad, al ser de las extensiones que sobreescribe dicho virus integramente con su código.



Seguremos mejorando la utilidad en cuanto a detección de infección de macros en ficheros de Word y Excel.



saludos



ms, 15-04-2004

Cerrado

Volver a “ALERTAS VIRICAS y utilidades de eliminacion”