| Características: Este gusano puede llegar a ser recibido en un mensaje de remitente y contenido aleatorio. Para definir cual es el destinatario y el remitente de cada mensaje, el gusano recolecta todas las direcciones de correo electrónico que encuentra en archivos que contengan las siguientes cadenas en su nombre:
.DBX
.EML
INBOX
.MBX
.MMF
.NCH
.ODS
.TBB
De esta manera, si en estos archivos encuentra, por ejemplo, una dirección juan@xxxxxxxxx.com y otra jose@yyyyyyyyy.com, el gusano puede llegar a enviarse con remitente juan@xxxxxxxxx.com y destinatario jose@yyyyyyyyy.com, o viceversa, y así con todas las direcciones que encuentre.
El código del virus contiene múltiples cadenas de texto que hacen pensar que con ellas formará el resto del mensaje, pero es posible también que el asunto, texto y nombre del adjunto del mismo sean obtenidos de archivos presentes en el sistema infectado.
Los posibles archivos adjuntos son:
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re: $150 FREE Bonus!
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert
El contenido del mensaje puede ser vacío, o contener fragmentos de archivos encontrados en el sistema infectado. Por otra parte, el archivo adjunto al mensaje enviado al gusano puede tener el siguiente nombre:
Card
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video
y la siguiente extensión:
.exe
.pif
.scr
También puede obtener el nombre de un archivo en la carpeta Mis Documentos, y agregarle las extensiones anteriores al final del mismo. Lo mismo con archivos en la carpeta personal del usuario, si existe una y está definida en la siguiente entrada del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\Personal
Además de todo lo anterior, el gusano tiene la capacidad de crear mensajes infectados a partir de alguno presente en el equipo, y responderlos o reenviarlos a otra dirección, con un archivo adjunto infectado.
La imposibilidad de definir un mensaje típico creado por el gusano hace que su identificación a primera vista no sea tan simple.
Como en la versión anterior, es capaz de ejecutarse automáticamente cuando el usuario abre o previsualiza un mensaje infectado, aprovechando una vulnerabilidad en el Internet Explorer (ver MS01-020).
Cuando un archivo infectado por el gusano es ejecutado en un sistema por primera vez, el gusano genera varios archivos.
- Un archivo con extensión .exe y nombre aleatorio formado con caracteres alfanuméricos al azar, en el directorio de Inicio. Es una copia del gusano para ejecutarse con cada arranque del sistema operativo.
- Un archivo con extensión .dll y denominación también generada al azar, en el directorio de Sistema es el keylogger que monitoreará y capturará todo lo ingresado por el usuario por teclado.
- Otros dos archivos con extensión .dll y nombre aleatorio, que contienen información encriptada.
- Un archivo con extensión .dat y nombre aleatorio en el directorio de Windows, que también contiene información encriptada.
Además, intenta infectar varios archivos ejecutables estándar de Windows:
hh.exe
mplayer.exe
notepad.exe
regedit.exe
scandskw.exe
winhelp.exe
Y de otras aplicaciones en el directorio Archivos de Programas (si existen):
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
adobe\acrobat5.0\reader\acrord32.exe
AIM95\aim.exe
CuteFTP\cutftp32.exe
DAP\DAP.exe
Far\Far.exe
ICQ\Icq.exe
Internet Explorer\iexplore.exe
kazaa\kazaa.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
MSN Messenger\msnmsgr.exe
Outlook Express\msimn.exe
QuickTime\QuickTimePlayer.exe
Real\RealPlayer\realplay.exe
StreamCast\Morpheus\Morpheus.exe
Trillian\Trillian.exe
Winamp\winamp.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
winzip\winzip32.exe
WS_FTP\WS_FTP95.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Todos los archivos infectados contienen al final de su código una copia del gusano por lo que incrementarán su tamaño en aproximadamente 72 KB. Contiene cierto polimorfismo cuando realiza la infección.
Para minimizar la seguridad del sistema, el gusano detiene los procesos activos que encuentre de antivirus, firewalls y otras aplicaciones de protección:
_avp32.Exe
_avpcc.Exe
_avpm.Exe
Ackwin32.Exe
Anti-Trojan.Exe
Apvxdwin.Exe
Autodown.Exe
Avconsol.Exe
Ave32.Exe
Avgctrl.Exe
Avkserv.Exe
Avnt.Exe
Avp.Exe
Avp32.Exe
Avpcc.Exe
Avpdos32.Exe
Avpm.Exe
Avptc32.Exe
Avpupd.Exe
Avsched32.Exe
Avwin95.Exe
Avwupd32.Exe
Blackd.Exe
Blackice.Exe
Cfiadmin.Exe
Cfiaudit.Exe
Cfinet.Exe
Cfinet32.Exe
Claw95.Exe
Claw95cf.Exe
Cleaner.Exe
Cleaner3.Exe
Dvp95.Exe
Dvp95_0.Exe
Ecengine.Exe
Esafe.Exe
Espwatch.Exe
F-Agnt95.Exe
Findviru.Exe
F-Prot.Exe
Fprot.Exe
F-Prot95.Exe
Fp-Win.Exe
Frw.Exe
F-Stopw.Exe
Iamapp.Exe
Iamserv.Exe
Ibmasn.Exe
Ibmavsp.Exe
Icload95.Exe
Icloadnt.Exe
Icmon.Exe
Icsupp95.Exe
Icsuppnt.Exe
Iface.Exe
Iomon98.Exe
Jedi.Exe
Lockdown2000.Exe
Lookout.Exe
Luall.Exe
Moolive.Exe
Mpftray.Exe
N32scanw.Exe
Navapw32.Exe
Navlu32.Exe
Navnt.Exe
Navw32.Exe
Navwnt.Exe
Nisum.Exe
Nmain.Exe
Normist.Exe
Nupgrade.Exe
Nvc95.Exe
Padmin.Eoutpost.Exe
Pavcl.Exe
Pavsched.Exe
Pavw.Exe
Pccwin98.Exe
Pcfwallicon.Exe
Persfw.Exe
Rav7.Exe
Rav7win.Exe
Rescue.Exe
Safeweb.Exe
Scan32.Exe
Scan95.Exe
Scanpm.Exe
Scrscan.Exe
Serv95.Exe
Smc.Exe
Sphinx.Exe
Sweep95.Exe
Tbscan.Exe
Tca.Exe
Tds2-98.Exe
Tds2-Nt.Exe
Vet95.Exe
Vettray.Exe
Vscan40.Exe
Vsecomr.Exe
Vshwin32.Exe
Vsstat.Exe
Webscanx.Exe
Wfindv32.Exe
Zonealarm.Exe
Para propagarse por correo electrónico utiliza su propio motor SMTP, y generando los mensajes como se describió más arriba. Además, contiene una lista negra de cadenas que si se encuentran en una dirección de correo, no se enviará a éstas:
list
localdomain
localhost
lyris
mailer-daemon
majordom
nobody@
noreply
postmaster@
recipients
remove
root@
spam
talk
ticket
trojan
undisclosed
virus
En su reproducción a través de recursos compartidos busca unidades donde pueda acceder al directorio de Inicio, y se copia allí como un archivo ejecutable de extensión .exe y nombre aleatorio.
El componente troyano del gusano abre el puerto TCP 1080 para recibir comandos, y quien se conecte a éste puede realizar las siguientes acciones en el equipo infectado:
- Copiar o Borrar Archivos
- Consultar Aplicaciones activas
- Terminar el Proceso de una Aplicación activa
- Ejecutar Archivos en forma remota
- Recibir Archivos y ejecutarlos
- Enviar lo recolectado por el keylogger por correo electrónico
- Abrir un servidor HTTP para navegar las unidades locales y de red del equipo infectado
- Otras acciones de consulta de información y ejecución de acciones.
El gusano fue desarrollado en Microsoft Visual C++, y comprimido con la utilidad UPX, además de estar encriptado. |
