ESET Latinoamérica – Laboratorio

Zayle, el gusano enamorado

Junio 26, 2007 3:21 pm

En los últimos meses se han reportado varios casos de malware que aprovechan los dispositivos USB para diseminar e infectar con su código malicioso.

Uno de ellos es el detectado por ESET NOD32 bajo el nombre de Win32/AutoRun.C, un gusano de Internet creado con el lenguaje de programación Microsoft Visual Basic 6.0 con capacidad de infectar dispositivos USB propagándose a través de los mismos.

Para lograrlo, copia en la raíz de estos dispositivos y de los discos locales, los siguientes archivos: “crsvc.exe” con un peso de 48 Kb y “autorun.inf” de 10 Kb en forma oculta y levanta en el sistema un proceso llamado “crsvc”.

Desde ese momento, cada unidad de almacenamiento extraíble que se inserte en los puertos USB de la computadora comprometida será infectada con una copia del gusano.

Como es común en los distintos tipos de malware, intenta asegurar que su proceso se levante en cada inicio del sistema, para lo cual manipula la clave “run” del registro apuntándola al archivo copiado en la raíz del disco X:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\
Syslog C:\crsvc.exe

Registro, proceso y copia del malware

Al momento de copiarse a los dispositivos, el malware verifica la existencia de los procesos “KofcpfwSvcs.exe” y “OfcpfwSvcs.exe” pertenecientes al troyano Win32/PcClient.WJ, si existen los termina, de igual manera que termina el proceso “explorer.exe” del explorador de Window. Inmediatamente después, vuelve a levantar el proceso “explorer.exe” para infectar el dispositivo insertado.

Además, deshabilita la opción de abrir las unidades con doble clic, tanto en las locales como en las extraíbles y en el submenú del botón derecho del Mouse crea una opción llamada “ZAYLE” cuyo efecto al ingresar a él, es equivalente a hacer doble clic directamente sobre el ejecutable del malware.

Opción creada por el malware

En el código del gusano se pueden leer las leyendas “Zarteck” y “LETZEL TE AMO” y hasta el nombre de la carpeta de trabajo del programador del código: \Projectos\Virus auto\3.0\Virus.vbp. Y el archivo “autorun.inf” contiene las siguientes imágenes en código ASCII.

Dibujos en código ASCII

Si bien este malware no posee algún componente innovador en su código, ya que para lograr su objetivo recurre a técnicas comunes utilizadas por la mayoría de los códigos maliciosos, no deja de ser una amenaza para los dispositivos USB que se están convirtiendo en un estádandar a la hora de transportar información.

Jorge

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



17 Comentarios en “Zayle, el gusano enamorado”

  1. Jorge Mieres dijo:

    Hola Raúl.
    Interpreto que ESET NOD32 detecta la amenaza pero no la elimina ¿es así? De todas formas te recomiendo que obtengas un archivo de registro generado con ESET SysInspector y nos lo envíes a blogs @ eset-la.com

    Si necesitas ayuda sobre cómo utilizar ESET SysInspector, te recomiendo la lectura de los siguientes post:
    http://blogs.eset-la.com/laboratorio/2008/01/16/eset-sysinspector/
    http://blogs.eset-la.com/laboratorio/2008/01/28/eset-sysinspector-generar-reportes-bajo-linea-comando/

    Saludos.

  2. raul dijo:

    hola.
    mi problema es parecido al del zayle, solo que en esta ocacion, se crea una carpeta en los discos duros llamada “imagenes”, la elimino y en segundos reaparece, y, siempre que aparece, el floppy hace un ruidito como si intentara leer un diskette, lo peor de todo, es que cuando ingreso las USB, se copia automaticamente.

    Tengo Nod-32, pero no lo elimina, detecta el archivo “crsvc.exe”, pero nada de nada, ahi sigue, ya lleva como un mes así.
    ¿Que puedo hacer?, gracias por todo.

  3. Juan dijo:

    Hol, pasaba vi luz y subi ja..Sabes tengo esa porqueria del Win32/Autorun.if no se cuanto y el RECICLER los cuales me infectan mis dispositivos USB tanto el Pen como la micro SD del cel.
    Ahora me lo detecta el NOD32..(Bendito seasss)..Pero no ecuentro la raiz de todo esto como lo piyo y lo elimino de una vez y para siempre, porque la verdad que me aburrio desinfectarlo.
    Es conveniente instalar un antivirus en el dispostivo USB?
    Bueno solo espero que me puedas ayudar y sino gracias por el tiempo prestado.

  4. Cristian Borghello dijo:

    Hola Luis E.

    Por favor puedes describir mejor el problema o el error que visualizas. Gracias.

    Cristian

  5. Luis E. dijo:

    Mi NOD-32 reconoce el malware pero al darle desinfectar dice que ocurre un error y no lo puede eliminar, anticipadamente gracias por toda la ayuda que dan.

    Luis E.

  6. Cristian Borghello dijo:

    Hoal Car534:

    La detección de “probablemente desconocido NewHeur_PE” no es la detección de un malware específico sino la detección heurística y una de las principales ventajas de ESET NOD32, capaz de detectar virus desconocidos hasta ese momento.

    Lamentablemente desmarcar esta opción y desinstalar el antivirus no es la mejor opción y puede ser el motivo por el cual ahora tienes un malware en memoria ya que estuviste cierto tiempo sin la mejor protección heurística de ESET.

    Cristian

  7. car534 dijo:

    tuve un inconveniente con un cafe internet en el cual tenian un tarificador llamado twin de ofitools.com pues despues de actualizar el NOD32 y escanear la maquina me aparecio un mensaje que habia una posible variante de NewHeur-PE, al eliminarlo el programa perdio archivos importantes, llame al tecnico y me dijo que le desactivara las opciones heuristicas al antivirus y que lo reintalara, asi lo hice y al realizar nuevamente el escaneo me aparece que esta en la memoria operativa, me gustaria saber si es en realidad una variante de NewHeur-PE y si corren peligro los dispositivos extraibles que pueden utilizar en el cafe internet los clientes y tambien mi informacion.
    gracias,
    caro

  8. Jorge Mieres dijo:

    Estimada Fernanda,
    en principio, si el antivirus detecta la amenaza por heurística quedate tranquila que se encuentra controlada y seguramente lo elimina.

    Ahora, si el archivo es detectado cada vez que reinicias el equipo, lo más probable es que tengas que deshabilitar la opción de restauración del sistema haciendo clic derecho sobre el icono de “Mi PC”, elegir propiedades y seleccionar la solapa “Restaurar sistema”, en ella encontraras la opción “Desactivar restaurar sistema en todas las unidades”. Debes tildarla.

    En caso de que no utilices ESET NOD32, te invito a que lo pruebes descargando una versión de evalución de ESET NOD32, o realices una exploración en línea con ESET Online Scanner.

    Saludos.-

  9. fernanda dijo:

    yo tengo el antivirus NOD32 y me aparece q tengo un probable virus newheur en los archivos de : System volume information, necesito que me digan como puedo eliminar ese virus por favor,, porque el acceso a esos archivos se que es imposible. yo quiero saber si se puede eliminar de alguna forma.. muchas graciass..

  10. AutorunKiller v2, Elimina el Virus Win32.Autorun.c « Mx Revolutions dijo:

    [...] llega a hacerse molesto [ bsatante, si te acostumbras a tenerlo ] si quereis informacion del virus aqui [...]

  11. Jorge Mieres dijo:

    Hola Alan, en primer lugar te cuento que todos los archivos que son detectados como maliciosos por ESET NOD32 son enviados a cuarentena, la ventaja de esto es que si por algún motivo desearas recuperar alguno de esos archivos lo podrías hacer fácilmente.

    Por otro lado, para evitar que ESET NOD32 vuelva a alertarte sobre el gusano, deberías deshabilitar la opción de “Restaurar sistema”.

    Cualquier cosa contanos como te fue.

    Saludos.-

  12. Alan Pérez dijo:

    Mi computadora tiene este virus, Eset Nod32 lo detecta pero sólo lo pone en cuarentena; cuando lo elimino vuelve a salir en poco tiempo; haya un mensaje constante en la barra de tareas, no lo he podido eliminar aun cuando baje su version de prueba de nod32

  13. Cristian Borghello dijo:

    Hola Jose Luis:
    No, no es posible que el celular se infecte con ese malware. En cambio sí es posible que se infecte la memoria del mismo debido a que sus características son las mismas que cualquier otra memoria, como la del USB por ejemplo.
    Con respecto a la desinfección, la misma se realiza eliminando los archivos mencionados debido que al ser un troyano y no infectar ni modificar otros archivos, con eliminar la amenaza es suficiente.

    Cristian

  14. Jose Luis dijo:

    hola ¿Es posible que un celular se infecte con este malware?
    realice un escaneo a la memoria y aparecio esto:
    K:\infrom.exe – probably unknown NewHeur-PE Virus
    K:\h.cmd – win32/PSW.OnLineGames.NLI Trojan
    K:\ms.config\ldup.exe – Win32/Shipup.NAB trojan
    K:\MSOCache\doWTP_RESTORE.exe – Win32/PSW.Delf. WB trojan
    K:\RECYCLER\RECYCLER\autorun.exe – Win32/PcClient.WJ trojan

    no veo la opcion de desinfectar ¿Como puedo limpiar la memoria del cel y la tarjeta de memoria?

  15. Esteban dijo:

    Comento que vi las imagenes de codigo acii desde el codigo original y es sorprendente.

  16. Cristian Borghello dijo:

    Hola Isaac, gracias por tu consulta
    Te comento que Zayle efectivamente es detectado y eliminado por ESET NOD32 sin problemas. Con respecto a tu otra consulta del USB lo que debes hacer es scanear todas tus unidades de disco (incluídos los USB) e eliminar el programa dañinos de todas las unidades.
    Con esto evitaras posteriores infecciones.

    Cristian

  17. ISAAC dijo:

    hola leí el artículo gracias por la información, desafortunadamente para mi tengo el gusano zayle que esta en mi maquinita y no he podido quitarlo creo que no existe algún antivirus que lo elimine ¿cierto? bien tengo mas dudas cómo, si no hay algún antivirus entonces una vez que lo quite y vuelva a meter mi memoria usb estará infectada pues la estuve usando mientras tenía este virus como limpio mi memoria además uso programas donde de igual manera utilizo un candado de ejecucion en usb como limpio todo esto, ojalá me puedan ayudar, muchas gracias.

Comentarios

Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.