Zoher, gusano que infecta tan solo leyendo el mensaje de correo.  

© Jorge Machado  Lima-Perú

Worm/Zoher, W32.Zoher@mm

Zoher es un gusano reportado el 24 de Diciembre del 2001, de gran difusión masiva en Internet ya que infecta con el sólo hecho de visualizar el mensaje, sin necesidad de abrir o ejecutar el archivo anexado (adjunto) que en este caso se denomina javascript.exe.

Supuestamente el autor de este virus, posee avanzados conocimientos de programación, ya que además de estar desarrollado solo en lenguaje Assembler, con apenas 6k de extensión, es un clásico archivo con formato PE (Portable Ejecutable) y debido a ello infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en forma muy peculiar, conectándose a través del servidor SMTP (Simple Mail Transfer Protocol), predeterminado, obtenido desde el registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts]

en un mensaje de correo con un texto sumamente extenso y escrito en Italiano:

zoher.gif (7863 bytes)

Texto completo:

Con questa mail ti e stata spedita la FortUna; non la
fortuna e basta, e neanche la Fortuna con la F
maiuscola, ma addirittura la FortUna con la F e la U
maiuscole. Qui non badiamo a spese. Da oggi avrai
buona fortuna, ma solo ed esclusivamente se ti liberi
di questa mail e la spedisci a tutti quelli che conosci.

Se lo farai potrai:
- produrti in prestazioni sessuali degne di King Kong
per il resto della tua vita

- beccherai sempre il verde o al massimo il giallo ai semafori
- catturerai tutti e centocinquantuno i Pokemon incluso
l'elusivo Mew

- (per lui) quando andrai a pescare, invece della solita
trota tirerai su una sirena tettona nata per sbaglio con gambe umane

- (per lei) lui sara talmente innamorato di te che ti
come una sirena tettona nata per sbaglio con le gambe

Se invece non mandi questa mail a tutta la tua list
entro quaranta secondi,allora la tua esistenza diventera una
grottesca sequela di eventi tragicomici, una colossale
barzelletta che suscitera il riso del resto del pianeta,
e ticondurra ad una morte orribile, precoce e solitaria...
No, dai, ho esagerato: hai sessanta secondi.

Cascaci: e' tutto vero.
Puddu Polipu, un grossista di aurore boreali
cagliaritano, spedi' questa mail a tutta la sua lista
ed il giorno dopo vinse il Potere Temporale della Chiesa
alla lotteria della parrocchia.
Ciccillo Pizzapasta, un cosmonauta campano che
soffriva di calcoli, si preoccupo di diffondere
questa mail: quando fu operato si scopri' che i suoi
calcoli erano in realta diamanti grezzi.

GianMarco Minaccia, un domatore di fiumi del Molise
che non aveva fatto circolare questa mail,
perse entrambe le mani in un incidente subito dopo
aver comprato un paio di guanti.
Erode Scannabelve, un pediatra mannaro di
Trieste,non spedi a nessuno questa mail: dei suoi tre figli
uno comincio a drogarsi,
il secondo entro in Forza Italia
e il terzo si iscrisse a Ingegneria.

Zoher se activa con sólo leer el mensaje infectado, debido a una conocida vulnerabilidad del formato MIME (Multipurpose Internet Mail Extensions), de algunas versiones de Microsoft Outlook, Outlook Express e Internet Explorer que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor lo active. 

El parche correspondiente se encuentra en los siguientes URL de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

El Service Pack 2 del Internet Explorer 5.5 no requiere de este parche ni tampoco el Internet Explorer 6.

Zoher no se instala en el sistema, únicamente se limita a auto-enviarse a la libreta de direcciones de MS Outlook y termina su proceso sin hacer ningún daño adicional, excepto el de la rápida saturación de los sistemas infectados.

La peculiaridad de este gusano radica en que, el archivo anexado utilizado para auto-enviarse, es creado en base a una imágen del mismo, descargado desde el enlace:

http://banners.interfree.it   

Actualmente si se intenta acceder a esta dirección se muestra este mensaje:

Forbidden You don't have permission to access on this server (Prohibido Ud. no tiene permiso para acceder a este servidor)

Lo cual puede significar que únicamente el autor tiene la clave de acceso para este enlace o que su ISP ha recibido la orden de inhabilitar este sitio web.

Sin embargo, nada impediría que su autor pueda generar algunas variantes con ciertas mejoras, para dotarlas de rutinas maliciosas que podrían causar graves estragos en los sistemas.

PER ANTIVIRUS® versión 7.2 con registro de virus al 26 de Diciembre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS