W32/Holar.I@MM, I-worm.Holar.I@mm
Holar.I es un
gusano destructivo, variante de la familia Holar reportado el 29 de
Octubre del 2003 de propagación masiva a través de mensajes de
correo con Asuntos y archivos anexados, elegidos en forma aleatoria
y sin Contenido. Se difunde además vía la red Peer to Peer KaZaa.
El gusano crea un
contador de infección y activaciones. A la trigésima ejecución
colapsa los sistemas infectados mostrando una pantalla negra.
Posee su propio SMTP
(Simple Mail Transfer Protocol) y se auto-envía a
todos los buzones de correo de la Libreta de Direcciones de MS
Outlook y los contenidos en los archivos con
extensiones .TXT, .HTML, .HTM y .EML
Es un PE (Portable
Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los
servidores NT/2000/Server 2003 está desarrollado en Visual Basic
6.0 con extensiones variables.
Los mensajes de
correo tienen las siguientes características:
Asunto, uno de los
siguientes:
- Fw:
- Re:
- Check this out ;)
- Enjoy!
- This is all i can
send
- Have Fun :)
- You gonna love it
- Here is what u
wanted
- :)
- Wait for more :)
- looool
- Take a look
- Never mind !
Contenido: en blanco.
Anexado, uno de los
siguientes:
- See the attatched
file
- gift :)
- Surprise!
- save it for hard
times
- Happy Times :)
- Useful
- Very funny
- Try it
- you have to see
this!
- emazing!
Al ejecutar el
archivo, el gusano se copia a la carpeta %System% con el nombre del
archivo anexado pero con la extensión .SYS. Del mismo modo se copia
a la carpeta Temporal de Windows con los nombres de archivos
explore.exe, smtp.ocx y a.pif, pero con las extensiones .EXE, .BAT,
.SCR o .COM.
- %System%\Explore.exe
(componente de Propagación)
- %System%\Smtp.ocx
(componente del motor de envío)
Para ejecutarse la próxima
vez que se inicie el sistema, el gusano crea la siguiente llave de
registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explore" = "%System%\explore.exe"
%System% es la
variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32 para Windows XP.
El registro de la página
de Inicio del Internet Explorer será cambiada a:
[HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main]
"Start Page" =
"http://www.geocities.com/yori_mrakkadi" (URL
actualmente clausurado)
Para marcar el
proceso de infección y el número de ejecuciones del gusano crea
las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows]
"a" = ""
[HKEY_CURRENT_USER]
"Death Time" = "[número_de_ejecuciones]"
Cuando el número de
ejecuciones del gusano llega a 30, el sistema colapsará y se
mostrará en toda la pantalla el siguiente mensaje en letras rojas y
con un fondo de color negro:
| !
have noth!na say bam st!ll ZaCker ! |
Este mensaje será
mostrado cada vez que se re-inicie un sistema infectado.
Para propagarse a
través de la red KaZaa, el gusano se auto-copia a la carpeta de
descarga \My Share Folder con los nombres de los archivos infectados
con extensión .EXE, .PIF, .BAT, . SCR o . COM.
Los payloads de este
gusano son:
- Se propaga
masivamente en mensajes de correo, con Asuntos y archivos
anexados, elegidos en forma aleatoria y sin Contenido.
- Se difunde además
vía la red Peer to Peer KaZaa.
- Intenta conectarse
a una dirección en la web (actualmente deshabilitada).
- Usa su propio
servidor SMTP para auto-enviarse a la Libreta de Direcciones de
MS Outlook y las direcciones de correo contenidas en archivos de
diversas extensiones.
- A la Trigésima
ejecución el gusano colapsará el sistema mostrando una
pantalla de color negro con un mensaje del autor del virus.
- Será necesario
eliminar el gusano con un antivirus actualizado o re-instalar el
sistema.
Fuente: PER |
