|
W32/Bigbrog.E@mm, Bigbrog.F@mm, I-worm.bigbrog.E@mm
Bigbrog.E es un gusano destructivo residente en memoria, variante del Bigbrog, reportado el 25 de Marzo del 2003, de alta propagación masiva vía mensajes de correo, con un archivo anexado de nombre academia.exe. Infecta además a través del ICQ y las populares redes Peer to Peer Kazaa, Grokster y Morpheus.
Borra archivos de diversas extensiones, roba nombres de usuario y claves de acceso que son enviadas al autor del gusano via HTTP. Finalmente colapsa el sistema operativo.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000
Está desarrollado en Visual C++, con una extensión de 229 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook. También posee su propio SMTP (Simple Mail Transfer Protocol).
Al ejecutar el archivo se muestra en pantalla un gráfico del juego Big Brother en la secuencia de "tiro al blanco" y con el nombre de "La Cacademia" en lugar del verdadero "La Academia". Inmediatamente se auto-copia al directorio %Windir% y a las carpetas %Startup% y %System% con los siguientes nombres:
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
El gusano crea también las siguientes copias de archivos .HTM en la carpeta \Mis documentos:
Al siguiente re-inicio se ejecutan los archivos ITCH.EXE e ITCJ.EXE que generan las siguiente llaves de registro:
[HKEY_CURRENT_USER\Software][HKEY_CURRENT_USER\Software]
VB and VBA Program Settings\ezzey\varia = "UpdateRegistry"
Estas llaves controlan el número de veces que el archivo infectado ITCH.EXE es ejecutado, empezando a partir del valor de "0". La primera vez que se activa se incrementa en "1" y el gusano procede al auto-envío masivo de mensajes de correo, a su vez libera y copia los archivos osiris.bmp y quiettime.bmp al directorio %Windir% y modifica el WIN.INI:
WIN.INI
[windows]
Wallpaper = %Windir%\osiris.bmp (gráficos
de papel tapiz)
WIN.INI
[windows]
Wallpaper = %Windir%\quiettime.bmp (gráfico
de papel tapiz)
La siguiente vez que se inicie el sistema se mostrará en la pantalla el primer papel tapiz que será intercambiado por el segundo, cada vez que se re-inicie el sistema.
Luego el gusano procede a borrar todos los archivos con extensiones .DBF, .DLL, .EXE, .GIF, .HTML, .JPG, .MP3, .MPG y .ZIP.
Para infectar a través de KaZaa, Grokster, Morpheus y el ICQ, el gusano se auto-copia con los nombres:
a las siguientes rutas:
Ejecuta los archivos generados con extensiones .HTM en la carpeta Mis documentos, los mismos que son formatos falsos de acceso a diferentes sitios web de Acafug, Banamex, Citibank, Hotmail, MSN y Yahoo, con el valor "Form action", que envía los nombres de usuarios y claves de acceso, extraídos del sistema infectado al autor del gusano, a través del servicio HTTP.
Finalmente, en el siguiente re-inicio colapsará el sistema.
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 7.9 y 8.0 con registro de virus al 25 de Marzo del 2003 detecta y elimina eficientemente este gusano.
