Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Aliz
 
 
  
Nombre: W32/Aliz
Alias:  
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 22/11/2001
Nivel de Riesgo (0-5): 1
Nivel de Distribución (0-5): 1
Nivel de Daños (0-5): 1
  
  
Descripción breve: 

          W32/Aliz es un gusano destinado a propagarse a través del correo electrónico mediante el uso de un agujero de seguridad descubierto en las versiones 5.01 y 5.5 de Internet Explorer. Dicho agujero permite ejecutar ficheros adjuntos mediante la vista previa del mensaje infectado en el cliente de correo Outlook. Si desea más información sobre esta vulnerabilidad, visite la página http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.  En esta página podra descargar el parche que resuelve este fallo de seguridad. 

          Por último, W32/Aliz no se copia en el sistema, por lo que no realiza ninguna acción destructiva. 
  
  
Modo de propagación: 
  
          W32/Aliz llega al ordenador como un fichero adjunto incluido en un mensaje de correo electrónico. Bastará con que el usuario abra el mensaje o lo vea a través de la vista previa, para que se ejecute dicho fichero adjunto.

          El mensaje enviado por W32/Aliz presenta las siguientes características: 

          Asunto: Para construirlo, el gusano toma un elemento de cada una de las siguientes listas:

  • Lista 1:
    • Fw:
    • Fw: Re:
     
  • Lista2:
    • Cool
    • Nice
    • Hot
    • Some
    • Funny
    • Weird
    • Funky
    • Great
    • Interesting
    • many
     
  • Lista3:
    • Website
    • Site
    • Pics
    • Urls
    • Pictures
    • Stuff
    • mp3s
    • shit
    • music
    • info 
     
  • Lista4:
    • to check
    • for you
    • i found
    • to see
    • here 
    • - check it
     
  • Lista5:
    • !!
    • !
    • :-)
    • ?!
    • hehe
    • ;-)
          De este modo, algunos posibles asuntos serían:
    • Fw: Re:Cool stuff for you!
    • FW: Funny website here ;-)
          Cuerpo del mensaje: Peace

          Fichero adjunto: WHATEVER.EXE
  
 
Métodos de infección: 
  
          Una vez ejecutado, el gusano se envía a todos los contactos incluidos en la libreta de direcciones de Windows (WAB), sin copiarse en el sistema afectado en ningún momento.

          Por último, sólo resta añadir que el código del gusano contiene el siguiente texto encriptado:

      :::iworm.alizee.by.mar00n!ikx2oo1:::

      while typing this text i realize this text got added on many av
      description sites, because this silly worm could be easily a
      hype. i wonder which av claims '[companyname] stopped high risk
      worm before it could escape!' or shit like that. heh, or they
      boycot my virus because of this text. well, it is easy enough
      for the poor av's to add this worm; since it was only released
      as source in coderz#2... btw, loveletter*2 power in pure win32asm
      and only a 4k exe file. heh, vbs kiddies, phear win32asm. :)
      thx to: bumblebee!29a, asmodeus!ikx. greets to: starzer0!ikx,
      t-2000!ir, ultras!mtx & sweet gigabyte...
      btw,burgemeester van sneek: ik zoek nog een baantje...