W32/RconR.B worm

RconR.B es un gusano destructivo, versión mejorada de la creada a mediados de Abril del 2003, propagado el 22 de Agosto del 2003 entre los usuarios de centros de educación superior en la ciudad de Lima, aunque varias empresas corporativas ya han empezado a reportarlo. 

Se caracteriza por contener gráficos alusivos a dos populares programas de la televisión peruana, borra archivos del sistema, dejándolos truncos, activa el Internet Explorer y se conecta a dos sitios en la web desde los cuales descargará dos nocivos gusanos. 

Nada impediría su difusión masiva a través de mensajes de correo, redes de archivos compartidos Peer to Peer u otros servicios de Internet.  

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, desarrollado en Visual Basic y requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecte.

Creado en Perú por MachineDramon, miembro del grupo internacional de codificadores de virus GEDZAC 2003, tiene una extensión de 16 KB y está comprimido con el utilitario PEtite Win32 Executable Compressor:

http://www.un4seen.com/petite

Se propaga copiándose a diskettes en forma aleatoria, con los siguientes nombres:

• CatherineCaballero.jpg.scr
• GeraldineSalmon.jpg.scr
• LauraHuarcayo.jpg.scr
• PatriciaWong.jpg.scr

Estos archivos son alusivos a los nombres de cuatro conocidas modelos del programa concurso RconR.

El gusano asocia el icono estándar de los archivos .GIF a los ejecutables infectados, con el propósito de confundir a los usuarios.

Al ejecutar el archivo infectado, el gusano se auto-copia a la carpeta %System% con los nombres:

• RconR.com
• 1000oficios.dll

Para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
"RconR" = "%System%\RconR.com"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado el gusano, busca en todas las unidades de disco y elimina los siguientes archivos del sistema:

• REGEDIT.EXE (Registro de Windows)
• MSCONFIG.EXE (Utilidad de Configuración del Sistema) 
• SCANREGW.EXE (Comprobador del Registro de Windows)
• SFC.EXE (System File Checker) 

Una vez deshabilitadas estas utilidades, el virus mostrará la siguiente caja de diálogo con un gráfico:

Al hacer click en "Visit Web" el gusano ejecuta una copia del Worm/Sachiel o el Worm/Gaguiel ubicadas en las siguientes direcciones:

• http://www.gratisweb.com/machinedramon/sachiel.jpg.scr (actualmente cancelada)
• http://www.gratisweb.com/machinedramon/gaghiel.html (actualmente cancelada)

En forma aleatoria abre el navegador de Internet e intenta conectarse a cualquiera de las siguientes direcciones: 

• http://www.pantel.com.pe/rconr
• http://www.gratisweb.com/machinedramon/sachiel.jpg.scr
• http://www.gratisweb.com/machinedramon/gaghiel.html

En el código viral del gusano, se puede apreciar el siguiente texto:

Los payloads de este gusano son los siguientes:

• Se propaga a través de diskettes. 
• Nada impediría su difusión masiva a través de mensajes de correo, redes de archivos compartidos Peer to Peer u otros servicios de Internet.
• Borra importantes herramientas del sistema, dejándolos truncos.
• Se conecta a diversas direcciones de Internet desde las cuales descarga dos destructivos gusanos.
• Se deberán restaurar los archivos borrados.

Fuente: PER