RISPIF gusano de Internet deshabilita software de seguridad y antivirus ejecuta mútiples cambios y acciones. 

© Jorge Machado  Lima-Perú

W32/Rispif

Rispif un gusano de última generación, reportado el 19 de Agosto del 2008, que se propaga a través de diversos servicios de Internet, incluso en mensajes MultiSPAM.

A pesar de tener tan poca extensión 13K, ocasiona mútiples estragos. cambios y daños en los sistemas. 

Infecta todas las unidades de almacenamiento lógicas y removibles. Deshabilita las herramientas de seguridad, termina los servicios de diversos antivirus, actúa como Rootkit, impide re-inciniar el sistema en Modo Seguro, etc. 

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 14,355 bytes.

Una vez ingresado al sistema se copia a las rutas

Para infectar las unidades de disco lógicas y removibles desde la C:\ a la Z:\ libera los siguientes archivos: 

C:\AUTORUN.INF 
C:\RIS.PIF (copia del gusano)
C:\RVS.PIF (copia del gusano)

Para activarse cada vez que se re-inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"explorer" = "%System%\wuauclt.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para evitar ejecutarse en memoria, más de una vez crea el Mutex "CNNLAST" y cambia la fecha del sistema al año 2004.

Al siguiente inicio del equipo, ejecuta un componente Kernel (núcleo del sistema operativo), para lo cual el gusano sobre-escribe en forma temporal el siguiente archivo:

%System%\drivers\beep.sys 

Este componente de modo Kernel tiene funcionabilidades de Rootkit y es empleado para restaurar el KeServiceDescriptorTable a su valor original y de este modo poder deshabilitar los software de seguridad. 

El KeServiceDescriptorTable apunta a 4 Tablas de Servicio de 16 bytes de longitud y está relacionado a la modalidad de enganche del API del Kernel Nativo.  

Ejecuta la herramienta de Windows Cacls.exe para cambiar los permisos de los siguientes archivos y habilitar el uso de las librerías de captura de paquetes WinPCAP en los sistemas afectados:

%System%\packet.dll
%System%\pthreadVNC.dll
%System%\drivers\npf.sys
%System%\drivers\npptools.dll
%System%\drivers\acpidisk.sys
%System%\drivers\wanpacket

El gusano ejecuta una inyección del denominado ARP (Address Resolution Protocol) o puede descargar un componente para esta acción. El ARP es un protocolo de red responsable de encontrar la dirección de hardware (Ethernet MAC) que corresponde a una determinada dirección IP.

Luego modifica las entradas de los siguientes registros para deshabilitar programas y herramientas de seguridad:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTIARP.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.COM]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASARP.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.KXP]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Runiep.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREngLdr.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE]
"debugger" = "%System%\dllcache\wuauclt.exe"

Como consecuencia, termina los siguientes procesos:

 y borra los siguientes servicios relacionados a software antivirus:

para ocultar las carpetas del Explorador de Windows crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
 "SHOWALL" = "2"

Borra las siguientes sub-llaves para evitar que el sistema infectado pueda ser re-iniciado en Modo Seguro (Safe Mode):

[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Minimal]
{4D36E967-E325-11CE-BFC1-08002BE10318}
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Network]
{4D36E967-E325-11CE-BFC1-08002BE10318}
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal]
{4D36E967-E325-11CE-BFC1-08002BE10318}
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network]
{4D36E967-E325-11CE-BFC1-08002BE10318}

Los usuarios pueden experimentar en forma aleatoria una de los siguientes problemas en caso reiniciar el sistema en Modo Seguro:

El gusano ejecuta una instancia de ventana oculta del Internet Explorer para descargar e instalar malwares desde las direcciones URL:

http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/[Removido]
http://m.d5x8.com/dd/10.[Removido]

Los archivos descargados son almacenados con los siguientes nombres en las rutas:

C:\Documents and Settings\All Users\1.pif
C:\Documents and Settings\All Users\2.pif
C:\Documents and Settings\All Users\3.pif
C:\Documents and Settings\All Users\4.pif
C:\Documents and Settings\All Users\5.pif
C:\Documents and Settings\All Users\6.pif
C:\Documents and Settings\All Users\7.pif
C:\Documents and Settings\All Users\8.pif
C:\Documents and Settings\All Users\9.pif
C:\Documents and Settings\All Users\10.pif
C:\Documents and Settings\All Users\ms.pif

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

PER ANTIVIRUS® versión X6 con registro de virus al 20 de Agosto del 2008 detecta y elimina este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS