Worm.VBS/Gaggle.E@P2P+MM

Alias:
VBS.Gaggle.E@mm (Symantec), Worm.Gedza (Kaspersky (viruslist.com)), VBS/Gedza.A (F-Secure)

Descripción:
Nueva variante de la familia Gaggle que al igual que sus antecesores sobreescribe multiples ficheros de distintos tipos, recupera direcciones de correo desde ficheros existentes en la máquina infectada, intenta propagarse por correo de forma masiva utilizando componentes propios y usando el servidor SMTP establecido por defecto, y también intenta la propagación a través de ICQ y algunos programas de Intercambio de ficheros P2P.

En los mensajes enviados, la dirección del remitente estará falsificada, el asunto del mensaje será variable mientras que el fichero adjunto será FILEZIP.ZIP.

Detalles:
Instalación

Crea copias de sí mismo en la carpeta %System% con los siguientes nombres de fichero:

• File.vbs
• Gedzac.vbs
• Israfel.vbs
• pubprn.vbs
• Kernel32.win
• Mouse_configurator.win
• Winmgd.win
• Backup.vbs
• Template.htm ( .html que contiene el gusano)
• Filezip.zip (.zip con el gusano comprimido)

  Notas:
  %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
  
  El gusano puede insertar algo de código basura en los ficheros mencionados por lo que su tamaño puede ser diferente en cada infección.

Crea los siguientes ficheros en la carpeta del sistema %System% :

• Regsrv.exe: 17,409 bytes. Se detecta como Trojan.KillAV.
• Sendi.exe: 30,721 bytes. Componente para envío de correos.
• Pkzip.exe: Utilidad compresión/descompresión sin infectar.
• AvrilLavigne.jpg: 12,549 bytes. Fichero.jpg.
• C:\Estigma.hta: 354 bytes. Inofensivo
• iwn.dat
• iw.dat.
• ixn.dat
• ix.dat
• 
  
  Nota: Los ficheros .dat serán utilizados por el gusano para la infección de ficheros de Microsoft Word y Excel.

Reescribe ficheros de los siguientes tipos con su propio código:

• .vbs
• .vbe
• .js
• .jse
• .hta
• .htm
• .html
• .php
• .shtm
• .shtml
• .phtm
• .phtml
• .mht
• .mhtml
• .plg
• .htx

Copia %comshell% sobre todos los discos duros como \inetpub\scripts\israfel.exe.

Nota:
%Comshell% es una variable que representa en programa del intérptrete de comandos que podrá ser command.com o cmd.exe.

Crea el fichero iisroot.asp en la carpeta \inetpub\wwwroot y subcarpetas. este fichero no posee carga vírica.

Cambios en el registro

Añade los siguientes valores:

"Kernel32"="%System%\Kernel32.win"
"Israfel"="%System%\Israfel.vbs"

en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Para iniciar su ejecución junto al arranque de Windows

"(Default)"="GEDZAC"

en los registros:

HKEY_CLASSES_ROOT\regfile\shell\open\command 
HKEY_CLASSES_ROOT\keyfile\shell\open\command

"Timeout"="0"

en los registros:

HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Scripting Host\Settings

"DisableRegistryTools"="1"

en los registros:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\
Policies\System

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Policies\System

Cambios en System.ini y Win.ini

Modifica la siguiente línea de las sección [boot] del fichero System.ini:

shell=Explorer.exe %System%\winmgd.win

Modifica la siguiente línea de las sección [Windows] del fichero Win.ini:

run=%System%\mouse_configurator.win

Presentación de Mensajes.

Si la fecha del sistema corresponde con el 3er día del mes, mostrará el fichero html C:\Estigma.hta, que solamente contiene texto.

Si la fecha del sistema coincide con el día 19 del mes, presentará el sigueinte mensaje:

19/12/2003 - Saludos a Cienciano Campeon 2003 de la Copa Sudamericana

Luego del alevoso ataque de eeuu y sus aliados
contra Iraq, aun tiene bush el descaro de decir
que lo hizo por libertar al pueblo o por la
democracia, como si eso le interesara, solo le
interesa tener gobiernos titeres y el petroleo
(investiguen sobre su dizque reconstruccion
de Iraq), desde los 90 que se pretendia derrocar
al gobierno de Iraq, quien le dio el derecho de decidir que
gobiernos deben ser derrocados o no, acaso
se cree el policia del mundo, una de las frases
favoritas del Asesino de bush, es el 'origen
del mal' el es eso.
Y para terminar otra de sus frases 'que Dios bendiga a los eeuu' ojala lo haga
porque lo van a nesecitar, porque algun
dia eeuu pagara por querer decirle al
mundo como tiene que vivir
(Mensage en contra del Gobierno de eeuu, no del pueblo)"

"Soy una ballena de color azúl mi espalda sopla y tu ves esa fuente
de agua limpia aún. Nuestra casa abierta, era el ancho mar
Viajábamos en paz, sin manchas de petróleo que evitar
Busco un sitio puro donde descansar no hay muchas como yo
me tengo que cuidar de ti. Nubes blancas, cielo transparente
y el humano compartiendo con otros, un sueño que quizás ya no regrese
pues ya es tarde para todos nosotros
Soy el cóndor majestuoso del Per? mi cuello gira y tú
me miras con ojos de luz. Busco un sitio alto donde recordar
que hubo un tiempo mejor, pues como yo no quedan más
Si tus hijos te preguntan cómo fui, no s?que les dirás, me tuve que alejar de ti
Cordilleras blancas dominando, todo ser que se alimenta del rúŒ
hombres en aldeas cultivando, sin decirle al campo dame lo que es múŒ
Estás equivocado, no sabes dónde vas
guanacos, osos panda, renos, águilas, delfines y todo lo demás
Estás equivocado no sabes dónde vas
un espú�itu ronda por la selva llorando lo que fue el jaguar
bienvenido al mundo del hombre construú�o con detergentes y también con alquitrán
Soy una ballena de color azúl mi espalda sopla y t?br> ves esa fuente de agua limpia aún
(Cancion perteneciente a 'Los Nosequien y Los Nosecuantos')
El 26 de Abril es el dú} de la Tierra, protegela"

• www.arvil-lavigne.com.

Propagación P2P

Si está instalado, recuperará la dirección de la carpeta compartida del programa SoulSeek accediendo al contenido de la siguiente clave de registro:

HKEY_CURRENT_USER\Software\SoulSeek\InstallPath

• C:\My Downloads
• C:\My Shared Folder
• C:\Program Files\appleJuice\incoming
• C:\Program Files\BearShare\Shared
• C:\Program Files\eDonkey2000\incoming
• C:\Program Files\Gnucleus\Downloads
• C:\Program Files\Grokster\My Grokster
• C:\Program Files\ICQ\shared files
• C:\Program Files\KaZaA\My Shared Folder
• C:\Program Files\KaZaA Lite\My Shared Folder
• C:\Program Files\KMD\My Shared Folder
• C:\Program Files\LimeWire\Shared
• C:\Program Files\Morpheus\MyShared Folder
• C:\Program Files\Overnet\incoming
• C:\Program Files\Shareaza\Downloads
• C:\Program Files\Swaptor\Download
• C:\Program Files\WinMX\My Shared Folder
• C:\Program Files\Tesla\Files
• C:\Program Files\XoloX\Downloads
• C:\Program Files\Rapigator\Share
• C:\Archivos de programa\appleJuice\incoming
• C:\Archivos de programa\BearShare\Shared
• C:\Archivos de programa\eDonkey2000\incoming
• C:\Archivos de programa\Gnucleus\Downloads
• C:\Archivos de programa\Grokster\My Grokster
• C:\Archivos de programa\ICQ\shared files
• C:\Archivos de programa\KaZaA\My Shared Folder
• C:\Archivos de programa\KaZaA Lite\My Shared Folder
• C:\Archivos de programa\KMD\My Shared Folder
• C:\Archivos de programa\LimeWire\Shared
• C:\Archivos de programa\Morpheus\MyShared Folder
• C:\Archivos de programa\Overnet\incoming
• C:\Archivos de programa\Shareaza\Downloads
• C:\Archivos de programa\Swaptor\Download
• C:\Archivos de programa\WinMX\My Shared Folder
• C:\Archivos de programa\Tesla\Files
• C:\Archivos de programa\XoloX\Downloads
• C:\Archivos de programa\Rapigator\Share
• [La carpeta compartidad de SoulSeek]
  
  con los siguientes nombres:
  
  
• ACDSee 5.5.zip
• AOL Instant Messenger.zip
• AVP Antivirus Pro Key Crack.zip
• Age of Empires 2 crack.zip
• Ana Kournikova Sex Video.zip
• Animated Screen 7.0b.zip
• AquaNox2 Crack.zip
• Audiograbber 2.05.zip
• BabeFest 2003 ScreenSaver 1.5.zip
• Babylon 3.50b reg_crack.zip
• Battlefield1942_bloodpatch.zip
• Battlefield1942_keygen.zip
• Britney Spears Sex Video.zip
• Buffy Vampire Slayer Movie.zip
• Business Card Designer Plus 7.9.zip
• Clone CD 5.0.0.3 (crack).zip
• Clone CD 5.0.0.3.zip
• Coffee Cup Free zip 7.0b.zip
• Cool Edit Pro v2.55.zip
• Crack Passwords Mail.zip
• Credit Card Numbers generator(incl Visa,MasterCard,...).zip
• Cristina Aguilera Sex Video.zip
• DVD Copy Plus v5.0.zip
• DVD Region-Free 2.3.zip
• Diablo 2 Crack.zip
• DirectDVD 5.0.zip
• DirectX Buster (all versions).zip
• DirectX InfoTool.zip
• DivX Video Bundle 6.5.zip
• Download Accelerator Plus 6.1.zip
• Edonkey2000-Speed me up scotty.zip
• FIFA2003 crack.zip
• Final Fantasy VII XP Patch 1.5.zip
• Flash MX crack (trial).zip
• FlashGet 1.5.zip
• FreeRAM XP Pro 1.9.zip
• GTA 3 Crack.zip
• GTA 3 Serial.zip
• Game Cube Real Emulator.zip
• GetRight 5.0a.zip
• Global DiVX Player 3.0.zip
• Gothic2 licence.zip
• Guitar Chords Library 5.5.zip
• Hentai Anime Girls Movie.zip
• Hitman_2_no_cd_crack.zip
• Hot Babes XXX Screen Saver.zip
• HotGirls.zip
• Hotmail Hacker 2003-Xss Exploit.zip
• ICQ Pro 2003a.zip
• ICQ Pro 2003b (new beta).zip
• IrfanView 4.5.zip
• Jenifer Lopez Sex Video.zip
• KaZaA Hack 2.5.0.zip
• KaZaA Speedup 3.6.zip
• Kazaa SDK + Xbit speedUp for 2.xx.zip
• Links 2003 Golf game (crack).zip
• Living Waterfalls 1.3.zip
• MSN Messenger 5.2.zip
• Mafia_crack.zip
• Matrix Movie.zip
• Matrix Screensaver 1.5.zip
• Mcafee Antivirus Scan Crack.zip
• MediaPlayer Update.zip
• Microsoft KeyGenerator-Allmost all microsoft stuff.zip
• NBA2003_crack.zip
• NHL 2003 crack.zip
• Need 4 Speed crack.zip
• Nero Burning ROM crack.zip
• Netbios Nuker 2003.zip
• Netfast 1.8.zip
• Network Cable e ADSL Speed 2.0.5.zip
• Nimo CodecPack (new) 8.0.zip
• Norton Anvirus Key Crack.zip
• PS2 PlayStation Simulator.zip
• PalTalk 5.01b.zip
• Panda Antivirus Titanium Crack.zip
• Pop-Up Stopper 3.5.zip
• Popup Defender 6.5.zip
• Quick Time Key Crack.zip
• QuickTime_Pro_Crack.zip
• Sakura Card Captor Movie.zip
• Screen saver christina aguilera naked.zip
• Screen saver christina aguilera.zip
• Security-2003-Update.zip
• Serials 2003 v.8.0 Full.zip
• Sex Live Simulator.zip
• Sex Passwords.zip
• SmartFTP 2.0.0.zip
• SmartRipper v2.7.zip
• Space Invaders 1978.zip
• Spiderman Movie.zip
• Splinter_Cell_Crack.zip
• Starcraft serial.zip
• Start Wars Trilogy Movies.zip
• Steinberg_WaveLab_5_crack.zip
• Stripping MP3 dancer+crack.zip
• Thalia Sex Video.zip
• Trillian 0.85 (free).zip
• TweakAll 3.8.zip
• UT2003_bloodpatch.zip
• UT2003_keygen.zip
• UT2003_no cd (crack).zip
• UT2003_patch.zip
• Unreal2_bloodpatch.zip
• Unreal2_crack.zip
• VB6.zip
• Virtua Girl (Full).zip
• VirtualSex.zip
• Visual Basic 6.0 Msdn Plugin.zip
• Visual basic 6.zip
• WarCraft_3_crack.zip
• WinOnCD 4 PE_crack.zip
• WinRar 3.xx Password Cracker.zip
• WinZip 9.0b.zip
• WinZipped Visual C++ Tutorial.zip
• Winamp 3.8.zip
• WindowBlinds 4.0.zip
• Windows XP complete + serial.zip
• Windows Xp Exploit.zip
• Winzip KeyGenerator Crack.zip
• XNuker 2003 2.93b.zip
• Yahoo Messenger 6.0.zip
• Zelda Classic 2.00.zip
• aol cracker.zip
• aol password cracker.zip
• cable modem ultility pack.zip
• counter-strike.zip
• delphi.zip
• divx pro.zip
• divx_pro.zip
• hotmail_hack.zip
• iMesh 3.6.zip
• iMesh 3.7b (beta).zip
• mIRC 6.40.zip
• macromedia dreamweaver key generator.zip
• mp3Trim PRO 2.5.zip
• pamela_anderson.zip
• play station emulator.zip
• serials2000.zip
• subseven.zip
• virtua girl - adriana.zip
• virtua girl - bailey short skirt.zip
• warcraft 3 crack.zip
• warcraft 3 serials.zip
• winamp plugin pack.zip
• winzip full version key generator.zip

Propagación IP

Genera direcciones IP aleatorioas e intenta conectarse a ellas utilizando los siguientes nombres de usuario y contraseñas:

• -en blanco-
• -CR/LF-
• -Nombre de la máquina-
• -Nombre de usuario-
• %null%
• %username%
• %username%12
• %username%123
• %username%1234
• 123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 654321
• 54321
• 1
• 111
• 11111
• 111111
• 11111111
• 000000
• 00000000
• 22
• 5201314
• 88888888
• 888888
• passwd
• password
• sql
• database
• admin
• test
• server
• computer
• secret
• oracle
• sybase
• root
• Internet
• super
• user
• manager
• security
• public
• private
• default
• 1234qwer
• 123qwe
• abcd
• abc123
• 123abc
• abc
• 123asd
• asdf
• asdfgh
• KKKKKKK
• !@#$
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• !@#$%^&*(
• !@#$%^&*()
• intel

Si consigue la conexión se copiará a sí mismo como autorun.vbs, y también reescribirá el fichero autoexec.bat con el siguiente contenido:

• @win \autoexec.vbs

Añade la siguiente línea en la sección [windows] del fichero Win.ini del ordenador remoto accedido:

run=autorun.vbs

Reescribirá todos los ficheros .vbs del disco A con su propio código. Si no encuentra ninguno en esa localización intentará copiarse con en ella con uno de los siguientes nombres:

• A:\Israfel.vbs
• A:\Document.txt.vbs
• A:\Image.jpg.vbs
• A:\Loreley.jpg.vbs
• A:\Vigilancia.txt.vbs

Propagación por Correo

Crea los siguientes ficheros en la carpeta de ficheros temporales %Temp%:

• imh.dat
• iml.dat
• imv.dat

Recupera direcciones electrónicas desde la libreta de direcciones de Microsoft Outlook Address Book y desde ficheros de los siguientes tipos, para guardarlas en los ficheros anteriores:

• .hta
• .htm
• .html
• .php
• .shtm
• .shtml
• .phtm
• .phtml
• .mht
• .mhtml
• .plg
• .htx

Utiliza su porpio componente de envío de correo (sendi.exe) para enviarse a todas las direcciones capturadas, sirviéndose del servidor SMTP establecido por defecto, o utilizando alguno de los siguientes:

• mx1.latinmail.com
• mx1.hotmail.com

EL correo enviado tendrá las siguientes características:

Remitente:

• El nombre será seleccionado de una lista transportada por el propio gusano.

Fichero Adjunto:

• Filezip.zip

Asunto:

• También será seleccionado de una lista trasnportada por el gusano.

Mensaje:

• También será seleccionado de su propia lista, y podrá comenzar con alguno de los siguientes textos:

  =============================Mcaffe Virus Scan=============================
    Resultado del Anßlisis: Mensaje y Adjunto libre de virus
  ===========================================================================
  

  =============================Mcaffe Virus Scan=============================
  Result gives the Analysis: Message and Added free he gives virus
  ===========================================================================
  

Ejemplos de mensajes enviados:

• Asunto:Postal Animada
  Mensaje:
  Ha recibido una postal desde esta direccion
  para verla descarguela antes de 7 dias de recibido este e-mail
  Un Servicio de FreeCards
  
• Asunto:Cartoons
  Mensaje:
  Nuestra pagina de Cartoons viene recargada
  mira este que se titula: El inofensivo pajarito
  
• Asunto:Free ScreenSaver
  Mensaje:
  Mira este screensaver, y si te gusta, visita nuestra page :)
  
• Asunto:FordWare
  Mensaje:
  Sabes lo que es el FordWare?, entonces mira este
  
• Asunto:Espero te guste
  Mensaje:
  Mira la postal =)
  
• Asunto:Esta es buena
  Mensaje:
  Haber que te parece a ti?
  
• Asunto:Aviso Importante
  Mensaje:
  Debido a la nueva politica del servidor, se pide a los usuarios
  completar el nuevo registro a fin de poder conservar sus cuentas de correo
  
• Asunto:Sexo Tantrico
  Mensaje:
  Conoces el sexo tantrico?
  Tantra: Antigua disciplina oriental para mejorar el rendimiento sexual
  Aprendelo y nota la diferencia.
  
• Asunto:Significado de los nombres
  Mensaje:
  Quieres saber el significao de tu nombre, o apellido o de donde proviene?
  
• Asunto:Manual Seduccion
  Mensaje:
  Quieres conquistar una pareja?, prueba con estos consejos
  
• Asunto:ilusiones
  Mensaje:
  Mira la foto adjunta 20 segundos y veras algo
  
• Asunto:Hi
  Mensaje:
  Te envio las imagenes que pediste, bye
  
• Asunto:Help me
  Mensaje:
  please open file
  
• Asunto:Mail Return System
  Mensaje:
  El correo no pudo ser enviado a uno o mßs destinatarios.
  
• Asunto:Fotos en tu email
  Mensaje:
  XXX Todo Vale XXX

Otros detalles

El gusano enviará un correo una dirección controlada por el autor del gusano en el que se detalla toda la información capturada sobre la máquina infectada.

También crea las siguientes claves de registro:

HKEY_LOCAL_MACHINE\Software\GEDZAC LABS\Israfel\Parent
HKEY_LOCAL_MACHINE\Software\GEDZAC LABS\VBS.Israfel\Info

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Acceda a los registros indicados y establezca de forma exacta los valores descritos debajo de cada uno de ellos:

   [HKEY_CLASSES_ROOT\regfile\shell\open\command]
   @="regedit.exe \"%1\""
   
   [-HKEY_CLASSES_ROOT\keyfile]
   
   [HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings]
   "Timeout"=-
   
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Scripting Host\Settings]
   "Timeout"=-
   
   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableRegistryTools"=-
   
   [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
   "DisableRegistryTools"=-
   
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableRegistryTools"=-
   
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   "Kernel32"=-
   "Israfel"=-

   Elimine las siguientes claves de registro:

   HKEY_LOCAL_MACHINE\Software\GEDZAC LABS\Israfel\Parent
   HKEY_LOCAL_MACHINE\Software\GEDZAC LABS\VBS.Israfel\Info
   
   

5. Edite el fichero win.ini , acceda a la sección [Windows] y establezca el siguiente valor:
   
   run=%System%\mouse_configurator.win
   
   
6. Edite el fichero system.ini, acceda a la sección [boot] y busque una entrada similar a la siguiente:
   
   shell=Explorer.exe %System%\winmgd.win
   
   Si existe, reemplacela con el siguiente texto:
   
   shell=Explorer.exe
   
   
7. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Symantec

Fuente: red.es