Worm.W32/Redist.E@MM

Alias:
WORM_REDIST.E (Trend Micro)

Descripción:
Gusano que se propaga a través de Microsoft Outlook mediante el envío de mensajes variados a todos los contactos de la libreta de direcciones de Windows del usuario infectado.

También es capaz de propagarse mediante los programas P2P de compartición de ficheros, al tiempo que posee rutinas para la captura de datos de caracter privado como los nombres de usuario y contraseñas de acceso.

Está escrito en lenguaje Visual Basic,  comprimido con la utilidad UPX y es operativo en sistemas Windows 95, 98, ME, NT, 2000, y  XP.

Detalles:
En su ejecución realiza las siguientes tareas:

Instalación

Presenta el siguiente mensaje:

• Intenta descargar copias de si mismo en la carpeta Windows:
  
  
  • Ircskins.skn
  • Msgsf32.exe
  • Msipxc32.exe
  • Scrset32.scr
  • Winscz32.exe
  • Winsetr32.exe
• También en la carpeta del sistema:
  
  
  • Icmpmgr32.exe
  • Lnkscrc32.scr
  • Msgmain32.exe
  • Msgsvc32.pif
  • Msrun32.exe
  • Svcmsg32.pif
  • Winlnkf32.pif
    
    
• En la carpeta de Inicio copiara el fichero Startw32.pif
• Creará las siguientes entradas en los registros indicados para permitir que una de las copias descargadas WINSCZ32.EXE, se ejecute con cada inicio de Windows:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\Run
  WinSecure32 = "%Windows%\Winscz32.exe"

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\RunServices
  Winsvc32 = "%Windows%\Winscz32.exe"

  HKEY_CURRENT_USER\Software\Microsoft\Windows\
  CurrentVersion\Run
  Msgsf32 = "%Windows%\msgsf32.exe" 

  NOTA:%Windows% representa la carpeta Windows. Normalmente suele ser C:\Windows o C:\WINNT.

  Propagación vía Correo
  
  

• El gusano se propaga enviándose a sí mismo a todos los contactos existentes en la libreta de direcciones del usuario infectado. Utiliza las funciones MAPI de Microsoft Outlook (MAPI) para el envío de diferentes mensajes, un ejemplo de los cuales son los siguientes:
  
  

  Propagación vía P2P
  
  

• También se propaga a través de los programas de compartición de ficheros en redes P2P, dejando copias de sí mismo en los directorios de ficheros compartidos que puedan ser descargados por otros usuarios:
  
  
  • Bruce Almighty (Downloader).pif
  • Legally Blonde 2 (Downloader).pif
  • Movie - Finding Nemo (Downloader).pif
  • Movie - Terminator 3 (Downloader).pif
  • Movie - The Hulk (Downloader).pif
  • Movie - The Italian Job (Downloader).pif
  • Sinbad - Legend of the Seven Seas (Downloader).pif

    En los siguientes directorios (si existen):
    
    

  • %Program Files%\BearShare\Shared
  • %Program Files%\Grokster\My Grokster
  • %Program Files%\ICQ\Shared Files
  • %Program Files%\Kazaa Lite\My Shared Folder
  • %Program Files%\Kazaa\My Shared Folder
  • %Program Files%\KMD\My Shared Folder
  • %Program Files%\Limewire\Shared
  • %Program Files%\Morpheus\My Shared Folder
  • %Program Files%\Overnet\Incoming
  • %Program Files%\Rapigator\Share
  • %Program Files%\Shareaza\Downloads
  • %Program Files%\Tesla\Files
  • %Program Files%\WinMX\My Shared Folder
  • %Program Files%\XoloX\Downloads

    Donde la variable %Program Files% puede ser una de las siguientes carpetas:
    
    

  • C:\Programas
  • C:\ProgramFiler
  • C:\Programmi
  • C:\Programme
  • C:\Programmer
  • C:\Program Files
    
    
• Además dejará copias de sí mismo con nombres aleatorios en:
  
  
  • \My Music
  • \My Documents\My Music

  Captura de Claves
  
  

• EL gusano podrá capturar las claves almacenadas en la caché del sistema para enviarlas al atacante. Esta funcinalidad solamente será operativa bajo sistemas Windows 95 and 98. La dirección de envío de la información capturada será:

  Zed_rRlf@hotmail.com

  Otros detalles
  
  

• El gusano está escrito en lenguaje Visual Basic y comprimido con la utilidad UPX. Para evitar tener múltiples copias en la memoria crea siguiente mutex:

  %Outsider%

Solución:

• Uso de antivirus actualizado.

Más información acerca de este virus en:

• Trend Micro

Fuente: red.es