W32/Alcra.B, I.worm.alcra.b

Alcra.B es un gusano residente en memoria reportado el 28 de Junio del 2005, que usando ingeniería social, se propaga a través de las Redes con recursos compartidos y una vez ingresado a un sistema deshabilita varios programas. Intenta conectarse a Internet descargar y ejecutar de diversos sitios un archivo de nombre a.exe y posteriormente hará lo propio desde otras webs, con cadenas de código maligno.

Para infectar los sistemas muestra un gráfico que simula ser un instalador de programa, luego presenta una falsa caja de diálogo.

También se propaga vía varias redes Peer to Peer.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++ con una extensión de 852 KB

Una vez ingresado a un sistema se auto-copia a la carpeta %Archivos de programa% con los siguientes nombres:

• %Archivos de programa%\winupdates\winupdates.exe
• %Archivos de programa%\winupdates\a.tmp
• %Archivos de programa%\winupdates\a.zip (copia del gusano en formato ZIP con 852 KB de extensión)

libera en la carpeta %System% el archivo bszip.dll y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winupdates" = "%Archivos de programa%\winupdates\winupdates.exe /auto"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio muestra el siguiente gráfico:

al hacer click en "Next" presenta la siguiente falsa caja de diálogo:

al siguiente inicio del sistema, el gusano deshabilita varios programas, creando los siguientes archivos con los atributos de "oculto" y "sistema":

• %System%\cmd.com
• %System%\netstat.com
• %System%\ping.com
• %System%\regedit.com
• %System%\taskkill.com
• %System%\tasklist.com
• %System%\tracert.com
• %System%\taskmgr.exe

Se conecta a http://windowsupdate.microsoft.com para verificar si el sistema está activado en Internet y luego intenta descargar y ejecutar el archivo a.exe desde diversos sitios en la web (actualmente deshabilitados).

Luego se conecta a otra relación de páginas web e intenta substraer cadenas de código de un formato .ZIP las cuales descargará y convertirá en archivos que insertará en los sistemas previamente infectados.

Finalmente copia el archivo a.zip a %Archivos de programa%, usando los nombres generados a las carpetas con las siguientes cadenas:

• Ares\My Shared Folder
• eMule\Incoming
• Kazaa\My Shared Folder
• My Shared Folder
• gnucleus\downloads
• shareaza\downloads
• rapigator\share
• Edonkey2000\Incoming
• morpheus\My Shared Folder
• Limewire\Shared

En caso el programa de Limewire estuviese instalado, procederá a ejecutarlo.

PER ANTIVIRUS® versión 9.3 con registro de virus al 28 de Junio del 2005 detecta y elimina este gusano.