FALSU, gusano de propagación via redes con recursos compartidos, Peer to Peer y el IRC.  

© Jorge Machado  Lima-Perú

W32/Falsu@mm, I-worm.falsu@mm

Falsu es un gusano reportado el 07 de Diciembre del 2005, que se propaga a través de redes con recursos compartidos, redes de compartimiento de archivos Peer to Peer y del IRC (Internet Chat Relay).

El gusano crea una carpeta de recursos compartidos dentro del directorio %Windir% y libera copias de sí mismo en esa misma carpeta.

Deshabilita el antivirus y firewall de Kazaa disminuyendo su seguridad al generar diversas llaves de registro. Para propagarse vía el IRC (Internet Chat Relay) emplea el comando DCC (Direct Control Command).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 65 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net  

Al activarse se copia a las siguientes rutas con los nombres:

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinExec" = "%Windir%\WinExec.exe"

modifica además las siguientes entradas en llaves para deshabilitar el compartimiento de archivos de Kazaa.

HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
DisableSharing = "dword:00000000"

la entrada por defecto es "user-defined"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
dir0 = "012345:%Windir%\shared"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
dir1 = "012345:%Windir%\Shared"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
dir2 = "012345:%Windir%\shared"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
dir3 = "012345:%Windir%\shared"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
dir4 = "012345:%Windir%\shared"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
dir5 = "012345:%Windir%\shared"

las entradas por defecto son "user-defined"

Para deshabilitar el firewall y antivirus de Kazaa modifica las llaves:

[HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter]
"virus_filter" = "dword:00000000"

[HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter]
"firewall_filter" = "dword:00000000"

En las redes con recursos compartidos, el gusano crea una carpeta también de de recursos compartidos dentro del directorio %Wnidir% y libera copias de sí mismo en la misma.

Para propagarase en las redes Peer to Peer, el gusano se copia a sí mismo desde la carpeta de descarga de Kazaa, y cambiando el nombre de la carpeta de cualquier otro sistema en %Windir%\Shared, permitirá que otros usuarios de Kazaa descarguen o suban copias desde esa carpeta.  

El gusano usa el cliente del mIRC para infectar por el IRC (Internet Chat Relay), verificando su presencia en esta llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC]

Localizada la aplicación mIRC, el gusano libera los Scripts incefalus.mrc y mirc.ini en la carpeta especificada en la llave anterior.

Copiados estos scripts en la carpeta, el gusano envía una copia de sí mismo, con el nombre de My_sister_nude.exe a otros ususarios dentro de una misma sesión, usando el comando DCC.

Estos Scripts se pueden reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toman ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

En caso fallar al obtener la ruta del mIRC, el gusano libera los scripts en la carpeta %System%\dllcache pero ya no podrá auto-enviar la copia de sí mismo.

PER ANTIVIRUS® versión 9.5 con registro de virus al 07 de Diciembre del 2005 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS