Girigat, el ataque del monstruo de 63 cabezas


Win32.Girigat.4937 es el nombre con el que se conoce a la nueva amenaza vírica para las plataformas Windows de 32 bits (Win9x/WinNT/WinCE). El virus, distribuido recientemente por su propio autor, Mister Sandman, a diversas compañías antivirus, ha sido descubierto "in the wild" y reportado en, por orden de incidencias de menor a mayor, Indonesia, Japón, Dinamarca, Suiza, Estados Unidos, Italia y, por último, Grecia, donde diversos rumores apuntan a la posibilidad de que hubiese alcanzado los sistemas informáticos de ciertos cuerpos administrativos del gobierno heleno





La vía de expansión de este virus ha sido con casi total probabilidad un gusano de mIRC encontrado recientemente en la conocida red Undernet, que se ha encargado de difundir cientos de copias del virus por los países anteriormente citados, según tenemos conocimiento hasta el momento. No se han encontrado por ahora ejemplares víricos ocultos en ninguno de los "newsgroups" de distribución habitual, lo que nos hace pensar en principio en una tercera vía de difusión aún desconocida. No obstante, el hecho de que el gusano que distribuye el virus por Internet no sea de la misma autoría que el virus, así como que hubiese sido el propio autor de Girigat quien hubiese enviado con cierta rapidez el virus a varias casas como AVP, DataFellows, NAi o Panda hace pensar en la posible existencia de una tercera persona, encargada de la distribución de Girigat, aparentemente sin la autorización de su autor.

La principal característica de Girigat es su capacidad de automutar su comportamiento, es decir, su forma de funcionar, cada vez que cambia de ordenador. El virus puede ser residente por proceso (por medio de API "hooking") o "runtime", o incluso ambos; asimismo, en caso de funcionar por medio de acción directa, es capaz de trabajar o bien en el directorio actual, o bien en el de Windows, o bien en ambos. Por último, Girigat es capaz de infectar CPL (paneles de control), EXE (ejecutables PE) y SCR (salvapantallas). El resultado de introducir todos estos elementos en una cocktelera y agitar, acción que se produce cada vez que el virus cambia de máquina, es uno de los 63 distintos virus que componen un solo virus, Girigat.

El virus además posee cuatro maneras distintas de activarse por medio de "payloads" gráficos, que son los que han delatado al virus y, por tanto, desencadenado la ola de infecciones reportadas. La activación del virus se produce al ejecutar una aplicación tres meses después de haber sido infectada, y existirá un 50% de probabilidades de que se active uno de los cuatro "payloads" de este virus.

La primera activación modifica el registro de configuraciones de Win32 con el fin de cambiar el escritorio y hacer que en éste se muestre el logotipo del virus. La segunda activación es un bucle mediante el cual el cursor del ratón se mueve de manera constante a posiciones aleatorias de la pantalla, haciendo imposible el uso de Windows. El tercer "payload" consiste en mostrar un cuadro de diálogo del tipo "Acerca de Windows", ligeramente modificado por los datos del virus y con las cadenas de copyright de su autor. Por último, el cuarto y último posible "payload" es un nuevo bucle infinito que emplea el virus para abrir y cerrar la bandeja del CD. Este efecto es capaz de causar deterioros en el "hardware", hasta el punto de tener que arreglar o sustituir la bandeja del CD en caso de que la ejecución del "payload" se prolongue durante horas, tal y como se ha reportado en contados -pero existentes- casos desde Estados Unidos e Italia.

En HispaSec hemos decidido ofrecer esta exclusiva, acompañada de un detallado análisis del virus, en el que explicamos su funcionamiento y advertimos de sus posibles consecuencias, que parecen estar paliadas desde el momento en que AVP distribuyó la vacuna específica en una de sus actualizaciones.



Otras noticias de interés:

Varios sitios webs caen víctimas de una nueva oleada de ataques
Piratas infromáticos han lanzado una campaña masiva de ataques Web, poniendo links maliciosos sobre miles de servidores, según ha advertido Kaspersky....
Problemas en software BlackBerry a través de archivos pdf
BlackBerry ha confirmado la existencia de múltiples vulnerabilidades en BlackBerry Enterprise Server y BlackBerry Professional Software en el proceso de archivos pdf....
Microsoft volverá a publicar el parche del boletín MS10-025
Microsoft se ha visto obligada a revisar el parche del boletín MS10-025, publicado el pasado 13 de abril, tras descubrir que su aplicación no protegía de la vulnerabilidad descrita....
Hackers roban datos bancarios de los clientes de Ford
Información de tarjetas de crédito, números de identificación personal y datos bancarios pertenecientes a 13.000 clientes de Ford han sido descargados por hackers, de acuerdo a lo expresado por la compañía. La empresa Ford Motor’s ha adve...
NUEVOS HUEVOS EN NUSTRAS DESCARGAS
Acabamos de colocar en nuestra zona de descargas 2 nuevos huevos, 1.- Osama Bin Huevo y 2.- huevos porristas. Te invitamos a descargarlos. Están ubicados en Downloads - Huevos Poetas....
Informe de inteligencia en seguridad (SIR) de Microsoft
El SIR es un informe que publica Microsoft dos veces al año en el que se relatan las vulnerabilidades mas recientes y la proliferación de software malintencionado. También muestra como han respondido las diferentes versiones de Windows ante el mal...
El FBI advierte sobre el scareware
Las estafas de falsos antivirus le han costado a los usuarios 150 millones de dólares....
SSLStrip evidencia y explota vulnerabilidades en SSL
Moxie Marlinspike acaba de presentar en Black Hat su ingeniosa herramienta SSLStrip, dirigida a hacer creer al usuario que se encuentra en un sitio web con cifrado SSL cuando en realidad todos los datos están siendo transmitidos en abierto. ...
De redes y estafas
Dos nuevos casos de falsificación (fake o hoax, en la jerga de Internet) han vuelto a traer al primer plano de la actualidad la potencialidad del medio digital para llevar a cabo acciones de esta índole con una capacidad de difusión y credibilidad...
Renombrado hacker “lanza” Windows Media 9 para Linux
El renombrado hacker noruego Jon Johansen ha presentado un programa que hace posible ejecutar archivos de Windows Media 9 en el reproductor universal de vídeo VLC....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • cabezas
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • girigat
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • monstruo
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra