|
Win32/Bandera@MM, W32/Grade@MM, I-Worm.Bandera@MM
Bandera es un gusano reportado el 02 de Julio del 2002, que se propaga masivamente en mensajes de correo con asuntos, archivos anexados, con un promedio de 166 KB, y cuerpos del mensaje aleatorios. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a los buzones de correo de la libreta de direcciones de MS Outlook y Outlook Express.
Su autor, de origen chileno, se autodenomina 4D2 o ErGrone y ha creado anteriormente otras especies virales tales como el Kitro y últimamente el Daduni o Unidad.
Este gusano PE (Portable Ejecutable) infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Está desarrollado sofisticadamente en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de varios Antivirus:
Tanto los asuntos como los archivos anexados y su contenido son elegidos en forma aleatoria de nombres o frases contenidas dentro del código del gusano.
Remitente, cualquier dirección de correo capturado del sistema infectado.
Mensaje # 1
Asunto: Es posible que nos roben la identidad
Contenido:
lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso
Archivo adjunto: YaNoPuedoSerYoMismo.DOC.pif
Mensaje # 2
Asunto:: 77:Test de amor.
Contenido:
Hace el test de amor, calcula el puntuaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Archivo adjunto: TestDeAmoryAmistad.DOC
Mensaje
# 3
Asunto o título del mensaje: Leelo y reenvialo a quienes aprecias
Contenido:
Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad
Archivo adjunto: Cristo_Nos_Enseña.Doc.pif
Mensaje # 4
Asunto: Fw: Enviame tu foto
Contenido:
bueno aquí esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje
Archivo adjunto: EnLosAndes.pif
Mensaje # 5
Asunto o título del mensaje: Listado de falsas alarmas
Contenido:
Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien
Archivo adjunto: Listado.txt.by.Microsoft.com
Mensaje # 6
Asunto o título del mensaje: Para los amigos
Contenido:
Postales NetWork ©1999-2002.
Archivo adjunto: PostalDeAmistad.pif
Mensaje # 7
Asunto: Messenger vulnerable
Contenido:
si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Archivo
adjunto: ReparacionDeMessenger.DOC.pif
Mensaje
# 8
Asunto: This is a last hoax list
Contenido:
I send the list of false alarms, so that you do not make case to the lies bye
Archivo adjunto: List.txt.by.Microsoft.com
Ejemplo de mensaje:
Al hacer click en el archivo infectado, el gusano se auto-copia al directorio raíz C:\ bajo los siguientes nombres:
AUTOEXEC.BAT .exe, AVP40Crack.exe, AVP-SpanishPatch.exe, BanderaNegra.vbs, BOOTLOG.PRV .exe, BOOTLOG.TXT .exe, COMMAND.COM .exe, CONFIG.SYS .exe, CopyPSXgamesV12.exe, CounterStrikeMoreServers.exe, DETLOG.TXT .exe, ffastun.ffa .exe, ffastun.ffl .exe, ffastun.ffo .exe, ffastun0.ffx .exe, FRUNLOG.TXT .exe, GameCube-FreeEmulator.exe, GamesPSX2Emulator.exe, HackTools.exe, IO.SYS .exe, Jedi2-FullCrack.exe .exe, MessengerSkins29.exe, MP3EncoderDecoder58.exe, MSDOS.--- .exe, MSDOS.SYS .exe, NETLOG.TXT .exe, PandaAllCracks.exe, PSX2-Emulator.exe, PSXEmulator_Full.exe, ResidentEvil-Crack.exe, SETUPLOG.TXT .exe, Sexo-Asiatico-FullVideo.exe, SexoenlaCalle-Video.exe, SYSTEM.1ST .exe, W98ToXpActualization.exe, WindowsXP-Serials.exe, WINZIP80.EXE .exe, X-Box_Emulator.exe
Asimismo copia los siguientes archivos al directorio de Windows:
Para ejecutarse la próxima vez que se inicie Windows crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BNexe"
Data: C:\WINDOWS\PostalDeAmistad.pif
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Folder" Data: 59
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KAZAAkCuF" Data: 9
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PAV.EXE" Data: 59
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Zonavirus"Data: 0
Después de infectar un sistema, intenta deshabilitar 3 antivirus: VirusScan de McAfee, AVP y PER Antivirus, en cuyo último caso en particular, no ha logrado su objetivo.
También se propaga a través de la popular red compartida Kazza
mediante la cual se descargan videos, archivos MP3, fotografías,
etc., intentando leer el siguiente valor de registro:
[HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0]
y de lograrlo, el gusano se auto-copia a la la red compartida Kazaa
con varios nombres de archivos mencionados anteriormente y que son copias
del gusano, los cuales estarán disponibles
para ser descargados por otros usuarios de esta red.
Para evadir la detección y eliminación de
algunos antivirus, el gusano manipula archivos de datos e información del
registro al cual modifica:
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles\Folder]
y apuntando al directorio de Windows altera la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = PAV.EXE C:\%windir%
con el propósito de prevenir que PER ANTIVIRUS®
sea ejecutado al inicio del sistema. Adicionalmente intenta borrar,
infructuosamente, los siguientes archivos correspondientes a nuestro
software:
C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll
así como también intenta borrar los siguientes archivos de la carpeta de
Windows:
PAV.EXE
\bases\avp.set
\system\vshield.vxd
\system32\vshield.vxd
\vshield.vxd
Su payload destructivo consiste en borrar los siguientes archivos:
AUTOEXEC.BAT, BOOTLOG.PRV, BOOTLOG.TXT, COMMAND.COM, CONFIG.SYS, DETLOG.TXT, ffastun.ffa, ffastun.ffa, ffastun.ffl, ffastun.ffo, ffastun0.ffx, FRUNLOG.TXT, NETLOG.TXT, SETUPLOG.TXT, WINZIP80.EXE.
Al terminar todas estas acciones el gusano muestra una caja de diálogo:
La próxima vez que se re-inicie el sistema no podrá ser ejecutado. Dentro de su código viral se puede leer esta cadena, no visible para los usuarios:
Componente para Facilitar La programacion de
Gusanos.
Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus
VIVA SUDAMERICA!!! Http://www.geocities.com/XXXXXX
No pensábamos emitir un boletín acerca de este gusano, el mismo que pudimos deshabilitarlo en apenas 12 minutos después de recepcionar la muestra y desarrollar su detector eliminador. Sin embargo, su autor ha tenido la "gentileza" de escribirnos para felicitarnos por la forma rápida que eliminamos sus creaciones y sabemos que 4D2 o ErGrone lee nuestro Boletines:
|
De: ergrone ergrone [ergrone@hotmail.com] Señores de Perantivirus Bueno quisiera poder hacer un alcance a los encargados de el antivirus, y es que yo jamas he utilizado librerias de messenger para obtener las direcciones de los contactos, yo hice la rutina con kiltro (el que ud conocen como kitro)y la he continuado utilizando en la .CPL. sobre la rutina de inutilizar a per, bueno el fin de aquella rutina no es impedir la deteccion de virus (como lo es con AVP) sino que la intencion es evitar las desinfecciones, pues para desinfectar requiere de las dll,, ¿verda?. Bueno, uds saben que su trabajo es necesario y admito que han sido mas eficientes que los de panda, que hasta ayer no sabian que el gusano se multiplicaba por kazaa y que los remitentes son aleatorios. bien. hasta luego :). en kiltro si uds revisan los otros archivos que crea dll y vxd veran mi seudonimo, y si analizan bien la cpl tambien sabran que soy yo. es valido que nos provemos unos a otros no? nuestra capacidad y la de uds, espero que no lo tomen como guerra o lo que sea, es solo que es entretenido probar nuestras capacidades por ambos lados. bien salu!. ErGrone/GEDZAC |
Enviado desde el IP 200.72.18.197 (enmascarado) "BODEGA" ENTEL CHILE S.A.
PER ANTIVIRUS® versión 7.5 actualizado al 02 de Julio del 2002, detecta y elimina eficientemente este gusano.
