Girigat, el ataque del monstruo de 63 cabezas


Win32.Girigat.4937 es el nombre con el que se conoce a la nueva amenaza vírica para las plataformas Windows de 32 bits (Win9x/WinNT/WinCE). El virus, distribuido recientemente por su propio autor, Mister Sandman, a diversas compañías antivirus, ha sido descubierto "in the wild" y reportado en, por orden de incidencias de menor a mayor, Indonesia, Japón, Dinamarca, Suiza, Estados Unidos, Italia y, por último, Grecia, donde diversos rumores apuntan a la posibilidad de que hubiese alcanzado los sistemas informáticos de ciertos cuerpos administrativos del gobierno heleno





La vía de expansión de este virus ha sido con casi total probabilidad un gusano de mIRC encontrado recientemente en la conocida red Undernet, que se ha encargado de difundir cientos de copias del virus por los países anteriormente citados, según tenemos conocimiento hasta el momento. No se han encontrado por ahora ejemplares víricos ocultos en ninguno de los "newsgroups" de distribución habitual, lo que nos hace pensar en principio en una tercera vía de difusión aún desconocida. No obstante, el hecho de que el gusano que distribuye el virus por Internet no sea de la misma autoría que el virus, así como que hubiese sido el propio autor de Girigat quien hubiese enviado con cierta rapidez el virus a varias casas como AVP, DataFellows, NAi o Panda hace pensar en la posible existencia de una tercera persona, encargada de la distribución de Girigat, aparentemente sin la autorización de su autor.

La principal característica de Girigat es su capacidad de automutar su comportamiento, es decir, su forma de funcionar, cada vez que cambia de ordenador. El virus puede ser residente por proceso (por medio de API "hooking") o "runtime", o incluso ambos; asimismo, en caso de funcionar por medio de acción directa, es capaz de trabajar o bien en el directorio actual, o bien en el de Windows, o bien en ambos. Por último, Girigat es capaz de infectar CPL (paneles de control), EXE (ejecutables PE) y SCR (salvapantallas). El resultado de introducir todos estos elementos en una cocktelera y agitar, acción que se produce cada vez que el virus cambia de máquina, es uno de los 63 distintos virus que componen un solo virus, Girigat.

El virus además posee cuatro maneras distintas de activarse por medio de "payloads" gráficos, que son los que han delatado al virus y, por tanto, desencadenado la ola de infecciones reportadas. La activación del virus se produce al ejecutar una aplicación tres meses después de haber sido infectada, y existirá un 50% de probabilidades de que se active uno de los cuatro "payloads" de este virus.

La primera activación modifica el registro de configuraciones de Win32 con el fin de cambiar el escritorio y hacer que en éste se muestre el logotipo del virus. La segunda activación es un bucle mediante el cual el cursor del ratón se mueve de manera constante a posiciones aleatorias de la pantalla, haciendo imposible el uso de Windows. El tercer "payload" consiste en mostrar un cuadro de diálogo del tipo "Acerca de Windows", ligeramente modificado por los datos del virus y con las cadenas de copyright de su autor. Por último, el cuarto y último posible "payload" es un nuevo bucle infinito que emplea el virus para abrir y cerrar la bandeja del CD. Este efecto es capaz de causar deterioros en el "hardware", hasta el punto de tener que arreglar o sustituir la bandeja del CD en caso de que la ejecución del "payload" se prolongue durante horas, tal y como se ha reportado en contados -pero existentes- casos desde Estados Unidos e Italia.

En HispaSec hemos decidido ofrecer esta exclusiva, acompañada de un detallado análisis del virus, en el que explicamos su funcionamiento y advertimos de sus posibles consecuencias, que parecen estar paliadas desde el momento en que AVP distribuyó la vacuna específica en una de sus actualizaciones.



Otras noticias de interés:

El FBI usa programa espía en sus investigaciones
Un sofisticado software espía creado por el FBI ha tomado un papel preponderante en las investigaciones federales relacionadas con casos de extorsión, amenazas terroristas y ataques de hackers; según documentos recientemente desclasificados y que ...
Vulnerabilidad en la extensión de ISAPI para los servicios de Windows Media
Según Microsoft Security Bulletin MS03-019, Los servicios de Microsoft Windows media son una característica del server 2000 de Microsoft Windows, del Avanced Server, y del server Datacenter y están también disponibles como versión descragable pa...
Seguridad en dispositivos UMTS
El tema de la seguridad en este tipo de redes, puede verse desde diversos puntos de vista, y de los que se podrían escribir innumerables post. En este caso nos centraremos en cómo se realiza la autenticación en la red de un nuevo terminal de usuar...
Para los expertos, 2004 será peor en materia de virus
Según numerosos expertos, 2004 será signado por nuevos códigos maliciosos, pero además, se espera un aumento en la cantidad y peligrosidad de los nuevos virus....
Fallos en IE8 vuelven inseguras algunas webs
El error se encuentra curiosamente en una protección añadida por los programadores de Microsoft al navegador....
Si te importa tu seguridad, mejor abierto
Después de nuestra Primera Campaña por la implantación del software abierto en la Administración (una iniciativa que ahora puede parecer antediluviana, pero que en 2001 era tan necesaria que fue enseguida apoyada por la Asociación de Internaut...
Lanzado oficialmente OpenOffice.org 3.0
Después de una larga espera esta excelente suite ofimatica ve la luz, entre las mejoras tenemos: soporte a formato ODF 1.2, trae incluido un módulo Solver...
El principio del fin para Windows NT... ¿Días contados?
Descubierta una vulnerabilidad en el servicio RCP Endpoint Mapper, presente por defecto en el puerto TCP/135 en Windows NT 4.0, 2000 y XP. Microsoft publica el parche para Windows 2000 y XP, mientras que deja a todos los sistemas Windows NT vulnerabl...
Actualización del kernel para SuSE Linux Enterprise 10
SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en la su versión 10 en la que se corrige una vulnerabilidad de denegación de servicio. ...
Seguridad en entornos SaaS e Cloud Computing
Mientras el hombre es un animal de costumbres, a la tecnología la mueven las modas. Así pues, hemos pasado de la centralización (antiguos servidores Mainframe que ocupaban una habitación completa), a la descentralización, es decir, tener una má...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • cabezas
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • girigat
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • monstruo
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra