|
Cxover destructivo gusano de teléfonos móviles PC y servidores con .NET Frawework instalado.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Cxover
|
|
Cxover es un destructivo gusano, reportado el 16 de Marzo del 2006 que infecta PCs de escritorio, servidores y teléfonos celulares que emplean el .NET Framework
el cual es comunmente instalado en sistemas con Windows XP y Server 2003 o en teléfonos móviles con Windows CE o la llamada Mobile Edition.
Contiene una nueva técnica de infección tanto a los sistemas operativos de los teléfonos celulares como a los de las PC y servidores que tengan instalado el .NET Framework ya
que se propaga a través del sistema Windows ActiveSync de Microsoft
el mismo que inícialmente fue desarrollado para los teléfonos móviles y que en sus últimas versiones han incluido a las PC de escritorio.
El gusano emplea una función propia del .NET Framework, para obtener la cadena asociada a la versión del sistema operativo en ejecución. Luego procede a verificar si las sub-cadenas CE
y móviles existen en los sistemas afectados.
|
De ser halladas el gusano procede a ejecutar su código en la plataforma móvil, de lo contrario lo ejecuta en las PC de escritorio.
Infecta a Windows 2000/XP y Server 2003, tiene una
extensión de 60KB y está desarrollado en C# (C Sharp) creado por Scott Wiltamuth y Anders Hejlsberg,
también autores del Turbo Pascal.
Para ejecutarse cada vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[cadena_aleatoria]" = "C:\Windows\[número_aleatorio].exe"
Al siguiente inicio del equipo el gusano intenta conectarse a un dispositivo móvil y una vez que haya establecido la conexión, crea una copia de sí mismo en la ruta y con el nombre:
C:\Windows\[número_aleatorio].exe
Pero la función empleada por el gusano no permite la creación de la copia de sí mismo, en el caso que la carpeta no exista o encuentre un archivo que esté usando el mismo nombre.
El gusano se copia y ejecuta en el directorio Windows del teléfono móvil conectado y después de hacerlo en forma exitosa, se desconecta de la computadora infectada.
También revisa si la cadena asociada con el sistema operativo en ejecución contiene la sub-cadena 3.0 y de ser hallada el gusano borra el siguiente registro, correspondiente al sistema móvil infectado:
[HKEY_LOCAL_MACHINE\Security\Policies]
Sin embargo esta acción no podrá ser ejecutada ya que previamente el teléfono móvil ya fue desconectado de la PC asociada.
Pero cuando el gusano es ejecutado en la plataforma móvil, se copia al directorio Windows y borra todos los archivos de la carpeta y sub-carpetas de \Mis
documentos.
Para asegurar su ejecución cuando se active el teléfono, crea el siguiente enlace:
Windows\Startup\[nombre_aleatorio].lnk
Dentro del código del gusano se puede leer el siguiente texto:
|
the crossover virus - poc - by Dr. Jul[bloqueado]rm - The great walls of China that separated the domains between wired and wireless, desktop and handhelds have been reduce to ruble. Vxers are entering a new era of greater vx possibilities with the chance of reaching more systems around the world than ever before. The viruses of the past are
nothing compared to what the future holds. 2006 marks the establishment of a New Cyberworld Order with vxers around the world united at the forefront. The time is now to prepare and defend, are you ready?
|
PER ANTIVIRUS® versión 9.6 con registro de virus al 16 de Marzo del 2006 detecta y elimina este gusano en las PC y servidores afectados, más no en los teléfonos móviles por no disponer aún de una
versión para estos dispositivos.
