Gibe, de alta propagación masiva, satura los sistemas que infecta, utiliza un "backdoor" para control remoto.  

© Jorge Machado  Lima-Perú

Win32/Gibe, W32/Gibe@MM

Gibe es un peligroso gusano que crea un "backdoor" utilizado para monitorear y controlar remotamente a los sistemas infectados. Fue reportado el 05 de Marzo del 2002, y es de alta propagación masiva en Internet, debido a un falso mensaje que simula contener un parche de Seguridad de Microsoft. Por esta razón, ese mismo día ha sido reportado por varias importantes empresas en Perú y usuarios finales. 

Es un clásico archivo con formato PE (Portable Ejecutable) de 120kb de extensión. Debido a esta característica, infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Se propaga a través de mensajes de correo electrónico con un texto alusivo a una actualización de seguridad para Internet Explorer, con un archivo anexado de nombre q216309.exe, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje:

El texto completo es:

"Microsoft Customer,

this is the latest version of security update, the
update which eliminates all known security vulnerabilities affecting Internet Explorer and
MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

Description of several well-know vulnerabilities:

- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user's computer.

- A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.

- A new variant of the "Frame Domain Verification" vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site's domain and the other on your local file system, and to pass information from your computer to the Web site.

- CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files - such as JPG or WAV files - that do not need to be blocked.

System requirements:
Versions of Windows no earlier than Windows 95.

This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install
Run attached file q216309.exe

How to use
You don't need to do anything after installing this item.

For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/
downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com

Thank you for using Microsoft products.

With friendly greetings,
MS Internet Security Center.
----------------------------------------
----------------------------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation."

Si el usuario ejecuta el archivo q216309.exe, el gusano mostrará un mensaje alusivo a la instalación de un parche de seguridad para Internet Explorer, supuestamente para confundir o engañar al usuario que recibió el mensaje:

Luego se auto-copiará en dos ubicaciones diferentes dentro de la carpeta de C:\Windows, con los siguientes nombres:

C:\%WinDir%\q216309.exe

C:\%System%\vtnmsccd.dll

Al mismo tiempo también crea los siguientes archivos:

C:\%WinDir%\bctool.exe

C:\%WinDir%\winnetw.exe

C:\%WinDir%\gfxacc.exe

Además generará un archivo de nombre file 02_n803.dat en el cual almacenará todas las direcciones de correo obtenidas desde la libreta de direcciones de MS Outlook, el cual le servirá posteriormente para auto-enviarse masivamente.

Finalmente Gibe se encargará de establecer las siguientes llaves de registro para asegurarse de continuar realizando sus acciones después de reiniciar Windows:

[HKLM\Software\AVTech\Settings]
"Default Address = <default address>"

[HKLM\Software\AVTech\Settings]
"DefaultServer = <default server>"

[HKLM\Software\AVTech\Settings]
"Installed = ...by Begbie"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"3dfx Acc = C:\%WinDir\gfxacc.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"LoadDBackup = C:\%WinDir\bctool.exe"

para luego mandar a ejecutar al archivo winnetw.exe el cual actúa como un "backdoor" abriendo el puerto 12387 para poder monitorear y hasta controlar remotamente a los sistemas infectados.

Su payload final se manifestará con la auto-ejecución de los archivos bctool.exe y winnetw.exe los cuales procederán a difundir masivamente a Gibe a través de la libreta de direcciones de MS Outlook saturando inminentemente servidores de correo, LAN, estaciones de trabajo y PC domésticas.

PER ANTIVIRUS® versión 7.3 con registro de virus al 05 de Marzo del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS