|
VBS/Cian.C@mm, Word97/macro.Cian.C, Excel97Macro/Cian.C, Cianaman.C@mm
Cian.C es un virus Visual Script, reportado el 07 de Febrero del 2003, de propagación masiva a través de mensajes de correo con documentos u hojas de cálculo de MS Word o Excel, respectivamente, que extrae de los sistemas infectados y auto-envía a los buzones de la libreta de direcciones de MS Outlook.
También se difunde vía redes de archivos compartidos Peer to Peer Kazaa, BearShare, eDonkey, Morpheus y Grokster.
Infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
Es un Visual Basic Script y su extensión es variable de acuerdo al documento u hoja de cálculo infectados.
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.
El Asunto para infectar documentos MS Word es elegido al azar de una de las siguientes frases:
Nombre_de_documento_Word (extraído del sistema infectado)
El Asunto para infectar hojas de cálculo MS Excel es elegido al azar de una de las siguientes frases:
Nombre_de_hoja_cálculo_Excel (extraída del sistema infectado)
Los archivos Anexados son los documentos u hojas de cálculo extraídas de los sistemas infectados.
En todos los caso el contenido del mensaje es el mismo.
El archivo infectado tiene 2 componentes para infectar documentos Word y hojas de cálculo Excel.
Al ejecutar el archivo, el virus se auto-copia a la carpeta %System% con el nombre de Winstart.vbs y para activarse en el siguiente re-inicio del sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Winstart = "Wsript.exe %System%\Winstart.vbs 1%"
Al ser ejecutado se auto-copia al directorio %Windir% y la carpeta %System% con los nombres:
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
Crea una llave de registro similar a la primera, con el valor "Winstart" como formato de macro del virus.
Por cada dirección de correo enviada crea un valor en la llave de registro:
[HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/Evade\RecordContacts]
El cual usa como registro para evitar enviar el mensaje más de una vez a a
la misma dirección.
Asimismo configura el siguiente valor en una llave de registro:
[HKEY_LOCAL_MACHINE\Software\Zed/[rRlf]\VBS/Evade]
default = "VBS/Evade.A by Zed/[rRlf]"
Inmediatamente infecta los archivos con extensiones .VBS y .VBE en todas las unidades de disco con archivos compartidos, creando una copia de sí mismo en el directorio raíz de todas ellas, excepto de C:\ con el nombre Passwords.vbs.
Para infectar las hojas de cálculo, crea un
archivo personal.xls en la carpeta de inicio
de MS Excel y para los documentos MS Word infecta la plantilla normal.dot.
Para lograr este objetivo, el virus cambia los niveles de seguridad en los
registros de Word y Excel para poder ejecutar los macros sin ninguna
advertencia. Luego crea los siguientes 2 archivos supuestamente gráficos:
%System%\Evade.gif
%System%\Evade.jpg
Estos contienen los códigos virales para Word y Excel, respectivamente, que
emplea para generar los archivos infectados personal.xls
y normal.dot.
Para infectar a través de las redes P2P y el IRC (Internet Chat Relay) se copia a las siguientes carpetas:
En estas carpetas busca los archivos con las siguientes extensiones:
A cada archivo hallado, el virus le agrega una segunda extensión .vbs. Ejemplo: carta notarial.doc.vbs.
También intenta propagarse vía Chat, pero
falla en su intento a causa de unos errores de programación.
Sus payloads
son los siguientes:
PER ANTIVIRUS® versión 7.9 con registro de virus al 07 de Febrero del 2003 detecta y elimina eficientemente este virus.
