| Características: Este gusano puede llegar a nuestra casilla en un mensaje de correo electrónico con asuntos y cuerpos aleatorios. Los archivos adjuntos, los cuales son también creados al azar, usarán extensiones .exe, .com, .scr, .pif.
Estos son algunos modelos de mensajes que pueden ser recibidos por el virus:
Asunto: why?
Cuerpo: The peace
Archivo adjunto: desktop.scr
Asunto: Re: You might not appreciate this...
Cuerpo: lautlach
Archivo adjunto: service.scr
Asunto: Re: how are you?
Cuerpo: I sent this program (Sparky) from anonymous places on the net
Archivo adjunto: Jesse20.exe
Asunto: Fwd: Mariss995
Cuerpo: There is only one good, knowledge, and one evil, ignorance.
Archivo adjunto: Mariss995.exe
Asunto: Re: The way I feel - Remy Shand
Cuerpo: Nein
Archivo adjunto: Jordan6.pif
Al ejecutar el archivo, éste extrae ciertos componentes que utiliza en el directorio C:\Windows:
initbak.dat
iservc.exe
ProgOp.exe
iservc.dll
Agrega el valor "SystemInit" = C:\WINDOWS\ISERVC.EXE dentro de la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run del registro de configuraciones para poder ejecutarse en cada inicio de Windows.
Modifica además el registro para ejecutarse cada vez que un archivo .txt es llamado:
HKCR\txtfile\shell\open\command
"(Predeterminado)" = C:\WINDOWS\ProgOp.exe 07 "C:\WINDOWS\NOTEPAD.EXE %1"
"C:\WINDOWS\initbak.dat" "C:\WINDOWS\ISERVC.EXE"
Es creada, además, la clave HKCR\Applications\ProgOp.exe con una asociación similar.
En Windows NT/2000/XP, es creado un servicio con el nombre S1TRACE.
Luego de algunos minutos, utilizando su propio motor SMTP y el servidor existente en la cuenta por defecto del sistema, envía copias de si mismo a direcciones obtenidas desde la Libreta de direcciones, y otros archivos en el equipo. También son creadas de forma aleatoria siguiendo el patrón a continuación mostrado:
Primera parte: nombre aleatorio, obtenido de una lista interna.
Segunda parte: número aleatorio, opcional.
Tercera parte: dominio aleatorio, elegido del siguiente listado:
aol.com
earthlink.com
gte.net
hotmail.com
juno.com
msn.com
netzero.com
yahoo.com
Posee además un Bot de IRC el cual realiza pings a diferentes servidores en busca de una respuesta. Cuando un servidor responde, el gusano se conecta a él e ingresa a algún canal disponible. Utiliza nombres obtenidos de una lista interna. Una vez allí, queda a la espera de instrucciones por parte del atacante. Entre los servidores utilizados podemos encontrar los siguientes:
irc2.p2pchat.net
irc.idigital-web.com
irc.cyberchat.org
irc.othernet.org
irc.beyondirc.net
irc.chatx.net
irc.cyberarmy.com
irc.gameslink.net
Es utilizado también un Bot para el AIM el cual registra un nombre de usuario aleatorio en el sitio del producto. Una vez conectado al servidor mediante el puerto 5190 ingresa a una sesión de chat y queda a la espera de comandos.
Posee un componente, el cual se conecta a una página en el servidor de geocities para descargar actualizaciones. Actualmente dicho sitio se encuentra fuera de servicio.
Para evitar ser detectado, finaliza procesos que contengan en sus nombres las siguientes cadenas:
ANTIV
AVP
F-PROT
NMAIN
SCAN
TASKM
VIRUS
VSHW
VSS
Además de todo lo anteriormente mencionado posee funcionalidades para propagarse mediante redes Kazaa de intercambio de archivos, instalar un componente de puerta trasera y un servidor HTTP, y almacenar las pulsaciones del teclado del usuario para obtener información del equipo, como por ejemplo: nombres de usuario y contraseñas. |
