Girigat, el ataque del monstruo de 63 cabezas


Win32.Girigat.4937 es el nombre con el que se conoce a la nueva amenaza vírica para las plataformas Windows de 32 bits (Win9x/WinNT/WinCE). El virus, distribuido recientemente por su propio autor, Mister Sandman, a diversas compañías antivirus, ha sido descubierto "in the wild" y reportado en, por orden de incidencias de menor a mayor, Indonesia, Japón, Dinamarca, Suiza, Estados Unidos, Italia y, por último, Grecia, donde diversos rumores apuntan a la posibilidad de que hubiese alcanzado los sistemas informáticos de ciertos cuerpos administrativos del gobierno heleno





La vía de expansión de este virus ha sido con casi total probabilidad un gusano de mIRC encontrado recientemente en la conocida red Undernet, que se ha encargado de difundir cientos de copias del virus por los países anteriormente citados, según tenemos conocimiento hasta el momento. No se han encontrado por ahora ejemplares víricos ocultos en ninguno de los "newsgroups" de distribución habitual, lo que nos hace pensar en principio en una tercera vía de difusión aún desconocida. No obstante, el hecho de que el gusano que distribuye el virus por Internet no sea de la misma autoría que el virus, así como que hubiese sido el propio autor de Girigat quien hubiese enviado con cierta rapidez el virus a varias casas como AVP, DataFellows, NAi o Panda hace pensar en la posible existencia de una tercera persona, encargada de la distribución de Girigat, aparentemente sin la autorización de su autor.

La principal característica de Girigat es su capacidad de automutar su comportamiento, es decir, su forma de funcionar, cada vez que cambia de ordenador. El virus puede ser residente por proceso (por medio de API "hooking") o "runtime", o incluso ambos; asimismo, en caso de funcionar por medio de acción directa, es capaz de trabajar o bien en el directorio actual, o bien en el de Windows, o bien en ambos. Por último, Girigat es capaz de infectar CPL (paneles de control), EXE (ejecutables PE) y SCR (salvapantallas). El resultado de introducir todos estos elementos en una cocktelera y agitar, acción que se produce cada vez que el virus cambia de máquina, es uno de los 63 distintos virus que componen un solo virus, Girigat.

El virus además posee cuatro maneras distintas de activarse por medio de "payloads" gráficos, que son los que han delatado al virus y, por tanto, desencadenado la ola de infecciones reportadas. La activación del virus se produce al ejecutar una aplicación tres meses después de haber sido infectada, y existirá un 50% de probabilidades de que se active uno de los cuatro "payloads" de este virus.

La primera activación modifica el registro de configuraciones de Win32 con el fin de cambiar el escritorio y hacer que en éste se muestre el logotipo del virus. La segunda activación es un bucle mediante el cual el cursor del ratón se mueve de manera constante a posiciones aleatorias de la pantalla, haciendo imposible el uso de Windows. El tercer "payload" consiste en mostrar un cuadro de diálogo del tipo "Acerca de Windows", ligeramente modificado por los datos del virus y con las cadenas de copyright de su autor. Por último, el cuarto y último posible "payload" es un nuevo bucle infinito que emplea el virus para abrir y cerrar la bandeja del CD. Este efecto es capaz de causar deterioros en el "hardware", hasta el punto de tener que arreglar o sustituir la bandeja del CD en caso de que la ejecución del "payload" se prolongue durante horas, tal y como se ha reportado en contados -pero existentes- casos desde Estados Unidos e Italia.

En HispaSec hemos decidido ofrecer esta exclusiva, acompañada de un detallado análisis del virus, en el que explicamos su funcionamiento y advertimos de sus posibles consecuencias, que parecen estar paliadas desde el momento en que AVP distribuyó la vacuna específica en una de sus actualizaciones.



Otras noticias de interés:

En Venezuela se cambia .gov.ve por .gob.ve
Por Resolución Nº. 240 del Ministerio de Ciencia y Tecnología, y publicada en Gaceta Oficial Nº. 38.064, de fecha 12 de Noviembre de 2004, quedó establecido la creación de un nuevo nombre de dom...
Nuevas amenazas cambian el concepto de seguridad en Internet
La gente de idg.es creó este video informativo donde entrevisto a David Perry Director mundial de formación de Trend Micro, desvela la evolución de los ataques informáticos, qué amenaza la seguridad en la Red....
Naciones Unidas recomienda el uso de software libre.
La ONU recomienda la utilización y el fomento del software libre tanto en el seno de la organización como entre los países miembros, dijo el inspector de Naciones Unidas Dominique Ouredrago, que participó en la cl...
Los agujeros de seguridad en aplicaciones aumentan un 36%
Las vulnerabilidades en la seguridad de aplicaciones se han incrementado un 36% durante los seis primeros meses de 2010 en relación al mismo periodo del año anterior, llegando a alcanzar la cifra de casi 4.400 agujeros de seguridad detectados, seg...
Enlace dentro de TABLE es falsificado en barra de estado
Algunos navegadores Web, no interpretan correctamente las etiquetas dentro del elemento TABLE, cuando muestran URLs dentro de la barra de estado....
La controversia de Palladium de Microsoft y el TCPA.
Últimamente se ha creado al entorno de esta tecnología un gran revuelo. Este artículo explica de una forma sencilla y clara. La nota original es de: Wi...
QuickTime 7.3.1 corrige vulnerabilidades críticas
Una actualización de QuickTime (QuickTime 7.3.1), corrige al menos tres vulnerabilidades, incluyendo una recientemente reportada que está siendo explotada en la red. Son afectadas todas las versiones, tanto para Windows como para MacOS, el sistema ...
COMIENZA EL SEGUNDO CONCURSO DE HACKING: BOINAS NEGRAS
Estan abiertaslas inscripciones de participantes del II Reto de Hacking Web organizado por Instituto Seguridad Internet. Como la duración del reto está limitada a un mes, los usuarios podrán registrarse con antelación con el fin de que cuando dé...
El misterioso caso del "0 day" que nunca llegó a ser
El día 19 de septiembre Symantec anunció una nueva vulnerabilidad desconocida en PowerPoint que permitía la ejecución de código arbitrario y que estaba siendo activamente aprovechada. Ante la avalancha de este tipo de noticias que últimament...
Vulnerabilidades en el Kernel de Windows
Dentro del conjunto de boletines de abril publicado por Microsoft y del que ya efectuamos un adelanto esta semana, se cuenta el anuncio (en el boletín MS05-018) de la existencia de cuatro vulnerabilidades en el núcleo (kernel) de diversos sistemas ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • cabezas
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • girigat
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • monstruo
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra