|
W32.Anset@mm, I.worm.Anset
Anset es un gusano reportado el 24 de Octubre del 2001 en Austria, Alemania y otros países europeos, de propagación masiva vía Internet, mediante el envío de mensajes y a través de servidores de correo, que contiene un archivo anexado de nombre ANTS3SET.EXE con formato PE (Portable Executable).
Infecta los sistemas operativos Microsoft Windows 95/98/NT/2000/Me
Al igual que el gusano Toal, ha sido programado en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Existen dos variantes conocidas hasta la fecha y tienen un tamaño de 186 kb y 179 kb respectivamente.
Al ejecutar el archivo anexado, inmediatamente el gusano se autocopia al directorio C:\Windows con un nombre elegido en forma aleatoria, como por ejemplo:
C:\Windows\RTX.EXE
C:\Windows\JNJSLLKE.EXE
Luego crea las siguiente llave de registro, para ejecutarse cada vez que se inicie el sistema:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
[Nombre aleatorio] = "C:\Windows\[Nombre aleatorio].exe"
Una vez que un sistema es infectado, Anset se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y a las direcciones de correo extraídas desde archivos con extensión *.PHP, *.HTM, *.SHTM, *.CGI y *.PL, encontrados en los discos duros locales, en un mensaje de correo con texto escrito en alemán e inglés:
Antes de proceder con su propagación el gusano se auto-copia al directorio raíz de la unidad C: con el nombre ANTS3SET.EXE, para luego iniciar su envío masivo, con un efecto multiplicador por cada sistema infectado.
El gusano también usa los siguientes servidores anónimos de correo, que emplean SMTP (Simple Mail Transfer Protocol) para propagarse:
| 200.52.69.2 |
| 200.52.69.9 |
| 193.92.94.226 |
| 12.34.208.35 |
| 195.229.189.2 |
| toad.com |
| 196.40.0.82 |
| 196.40.0.90 |
Un error de programación de este gusano ocasiona que el envío masivo falle. Dentro de su código viral se lee:
CompanyName: e-brainstorm
FileDescription: ANTS - A New Trojan Scanner
LegalCopyright: Andreas Haak
Sin embargo, nada impediría que el autor de este gusano genere más de una variante que pueda ocasionar efectos destructivos a los sistemas o sus contenidos, ya que a nuestro criterio, la estructura de su programación parece ser la de un virus concebido a manera de ensayo.
Andreas Haak, es un reconocido investigador alemán, que desarrolla herramientas contra los virus y troyanos. Según Andreas alguien usó su nombre y el de su programa para crear el gusano. Una de sus conocidas creaciones es el utilitario ANTS.
PER ANTIVIRUS® versión 7.1 con registro de virus al 25 de Octubre del 2001 detecta y elimina eficientemente este gusano.
