modo de infeccion

Instalación

Cuando se ejecuta, el gusano se copia a sí mismo en el directorio de Windows con los siguientes nombres:


c:\windows\sysmonxp.exe
c:\windows\firewalllogger.txt
FIREWALLLOGGER.TXT es archivo .DLL (librería dinámica). El .EXE llama a este .DLL para ejecutarlo.

También puede acabar creando los siguientes archivos:


c:\windows\base64.tmp
c:\windows\zipo0.txt
c:\windows\zipo1.txt
c:\windows\zipo2.txt
c:\windows\zipo3.txt
c:\windows\zippedbase64.tmp
Intenta desinstalar la entradas realizadas en el registro por otros gusanos:


Explorer
system.
msgsvr32
au.exe
winupd.exe
direct.exe
jijbl
Video
service
DELETE ME
d3dupdate.exe
OLE
Sentry
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
Microsoft IE Execute shell
Winsock2 driver
ICM version
yeahdude.exe
Microsoft System Checkup
de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

También borra las siguientes subclaves de los registros indicados:
KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\PINF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
HKEY_CLASSES_ROOT\CLSID\CLSID\
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysMonXP = c:\windows\sysmonxp.exe

Propagación

Busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:


.a
.ad
.adb
.as
.asp
.c
.cf
.cfg
.cg
.cgi
.d
.db
.dbx
.dh
.dht
.dhtm
.do
.doc
.e
.em
.eml
.h
.ht
.htm
.html
.j
.js
.jsp
.m
.mb
.mbx
.md
.mdx
.mh
.mht
.mm
.mmf
.ms
.msg
.n
.nc
.nch
.o
.od
.ods
.of
.oft
.p
.ph
.php
.pl
.pp
.ppt
.r
.rt
.rtf
.s
.sh
.sht
.shtm
.st
.stm
.t
.tb
.tbb
.tx
.txt
.u
.ui
.uin
.v
.vb
.vbs
.w
.wa
.wab
.ws
.wsh
.x
.xl
.xls
.xm
.xml
Si detecta conexiones a Internet activas, comienza a propagarse enviando mensajes con las siguientes características, sobre las direcciones capturadas:

De: [remitente falso] direcciónes obtenidas en la máquina infectada.

Asunto: [uno de los siguientes]


Deliver Mail [dirección destinatario]
Delivered Message [dirección destinatario]
Delivery [dirección destinatario]
Delivery Bot [dirección destinatario]
Delivery Error [dirección destinatario]
Delivery Failed [dirección destinatario]
Delivery Failure [dirección destinatario]
Error [dirección destinatario]
Failed [dirección destinatario]
Failure [dirección destinatario]
Mail Delivery failure [dirección destinatario]
Mail Delivery System [dirección destinatario]
Mail System [dirección destinatario]
Server Error [dirección destinatario]
Status [dirección destinatario]
Unknown Exception [dirección destinatario]
Mensaje: Compuesto en la forma [1]+[2]+[3]+[4]

Donde [1] es una de las siguientes líneas:


Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted
[2] es lo siguiente:


------------- failed message -------------
[Texto aleatorio]
[3] es uno de los siguientes textos:


Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.
Y finalmente [4] es lo siguiente:


Or you can view the message at:
www.[dominio]/inmail/[usuario]/mread.php?
sessionid-[número al azar]

Donde [dominio] es el dominio de la dirección del destinatario (lo que va después de la arroba), y [usuario] el nombre de la cuenta:

Adjuntos: Compuesto en la forma [1]+[2]+[3]

Donde [1] es uno de los siguientes elementos:


data
mail
msg
message
[2] son varios números al azar

[3] es la extensión .PIF o .ZIP. En ocasiones no se agrega el elemento [2].

Si el adjunto es un archivo comprimido (.ZIP), el nombre del archivo que contiene puede ser uno de los siguientes:


data.eml[100 espacios vacíos].scr
mail.eml[100 espacios vacíos].scr
msg.eml[100 espacios vacíos].scr
message.eml[100 espacios vacíos].scr
Los 100 espacios vacíos esconden la verdadera extensión de los archivos, ya que la misma queda oculta en la ventana que los muestra.

El adjunto con extensión .PIF, puede ejecutarse al leer el mensaje o al verlo en el panel de vista previa, en equipos con Internet Explorer 5.5 o inferior, sin los parches correspondientes. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados (fue corregido por Microsoft en marzo de 2001).

El gusano posee su propio motor SMTP, y para el envío de los mensajes consulta al servidor de nombres configurado en la conexión actual.

Evita enviarse a direcciones que contengan estas cadenas:


@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@