Chir.B

Chir.B, de alta propagación masiva, infecta leyendo el mensaje de correo, borra y trunca archivos.

W32/Chir.B@mm, W32/Runonce.B@mm

Chir.B, es un gusano reportado el 30 de Julio del 2002, variante del Chir, con amplia capacidad de propagación masiva debido a que aprovecha una vulnerabilidad MIME (Multipurpose Internet Mail Extensions) e IFRAME de algunas versiones de MS Outlook, Outlook Express e Internet Explorer, que infecta el sistema con tan solo leer el mensaje, sin necesidad de abrir o ejecutar el archivo anexado.

Chir.B es un PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Se propaga en mensajes con un archivo anexado de nombre pp.exe, con una extensión de 6.5 KB. Con el propósito de engañar al destinatario, el gusano emplea la dirección de correo del sistema infectado, por ejemplo: <nombre del usuario@hotmail.com> extraída de la libreta de direcciones de Windows o en forma aleatoria usa la dirección <imissyou@btmail.net.cn>. El contenido o cuerpo del mensaje está en blanco, pero contiene instrucciones HTML con el código viral.

Al ser activado el gusano, genera un proceso de sí mismo (programa en ejecución) que tiene como propósito saturar la memoria RAM del sistema infectado y ocasionar su inestabilidad o que deje de funcionar y el sistema deberá ser reiniciado.

Asimismo se auto-copia a la carpeta C:\Windows\Systems\runonce.exe y para ejecutarse la próxima vez que se inicie el sistema configura la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Runouce = “%System%\RUNOUCE.EXE”

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

El gusano emplea su propio servidor SMTP (Simple Mail Transfer Protocol) para auto-enviarse a todas las direcciones de correo que encuentre en la Libreta de Direcciones de Windows (WAB) y en los archivos con extensiones .adc, r.db, .doc y .xls

También crea varios copias del archivo README.EML en todos los directorios y sub-directorios del sistema infectado y en todas las unidades de disco de la Red local. Este archivo es una versión UUencoded del propio gusano.

El UUencode es un protocolo universal empleado para enviar archivos entre diversas plataformas, por lo general con un archivo anexado.

El gusano infecta los archivos con las siguientes extensiones:

EXE
SCR
HTM
HTML

El 1er día de cada mes, el gusano sobre-escribe los primeros 1,234 Bytes de los archivos con las siguientes extensiones, a los cuales trunca:

*.ADC
*R.DB
*.DOC
*.XLS

El parche para tanto el IFRAME exploit y el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

El payload de este gusano consiste en:

Satura la memoria y ocasiona que el sistema se desestabilice o deje de funcionar.
Se auto-envía masivamente a las direcciones de correo que captura.
Borra archivos con las extensiones detalladas.
El 1er. día de cada mes sobre-escribe y trunca archivos de las extensiones detalladas.

PER ANTIVIRUS® versión 7.6 actualizado al 30 de Julio del 2002, detecta y elimina eficientemente este gusano y sus variantes.