Win32/Blinkcom, 

Blinkcom es un gusano reportado el 03 de Septiembre del 2002, que se propaga masivamente en mensajes de correo conteniendo archivos anexados de diversos nombres, con extensión .pif, ocupa un promedio de 173 KB de espacio y contiene diferentes Asuntos y Contenidos, elegidos en forma aleatoria, se auto-envía a todos los contactos de la libreta de direcciones de Microsoft, deshabilita Antivirus y Firewalls, modifica la configuración de MS Office 97/2000 e infecta archivos de la red Kazaa y Yahoo Messenger.

Blinkcom tiene una gran variedad de payloads ocasionados por una sofisticada programación, es un PE (Portable Ejecutable) desarrollado en Borland Delphi y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección:

Los mensajes varían aleatoriamente:

Remitente, cualquier dirección de correo capturado del sistema infectado.

Archivos anexados, uno de los siguientes:

• BinLadilla.pif
• Noticia45.Txt.pif
• NewsHS.Txt.pif 
• CarnivoreStory.Pif
• Estatutos.Pif 

Asuntos, uno de los siguientes:

• Los mejores chistes de Bin Laden

• HISPASEC

• Carnivore databases

• VAN A VENDER HOTMAIL

El Contenido del mensaje es uno de los siguientes textos: 

1. a todos mis amigos. Los mejores chistes que me enviaron, éstos son los mejores. 

2. Esta es la prueba de que HISPASEC roba importantes bases de datos de muchas compañías, incluso hotmail. (los campos en blanco son algunos datos omitidos por razones de anonimato y seguridad). 

3. This is the probe that HISPASEC steals important databases of many companies (the fields in blank_target are some data omitted by security and anonimity reasons) 

4. parece que los de microsoft no se la pudieron, prefirieron dedicarle tiempo al windows, amenazan con borrar las cuentas, pero se puede evitar siguiendo unos estatuts que ellos ponen a disposición. leelos o no tendras mas cuenta. chao. 

Ejemplo de mensaje:

Cuando el archivo infectado se ejecuta, el gusano se auto-copia a las siguientes carpetas con diferentes nombres:

c:\Windows\RaZor.scr 
c:\Windows\Cloud Strife.scr 
c:\Windows\Kuasanagui.scr 
c:\Windows\%system%\182.exe 
c:\Windows\HOKO.scr 
c:\Windows\ErGrone.scr 
c:\Windows\Jtag.scr 
c:\Windows\XpLOaD.scr 
c:\Windows\NERFIX.scr 
c:\Windows\NEMESIZZ.scr 
c:\Windows\Tom.scr 
c:\Windows\Marc.scr 
c:\Windows\Travis.scr 
c:\Windows\BOX CAR RACER.scr 
c:\Windows\Take Off Youre Pants And Youre Jacket.scr 
c:\Windows\Damm You!.scr 
c:\Windows\ENEMA.scr 
c:\Windows\DUDE RANCH.scr 
c:\Windows\Cheshire Cat.scr 
c:\Windows\Guitar.scr 
c:\Windows\Punk Power!.scr 
C:\Program Files\KaZaA\My Shared Folder\Blink 182.scr 
C:\Program Files\KaZaA\My Shared Folder\Box Car Racer.scr 
C:\Program Files\KaZaA\My Shared Folder\Blink 182 All Videos.exe 
C:\Program Files\KaZaA\My Shared Folder\KaZaA UpDate.exe 
C:\Program Files\KaZaA\My Shared Folder\Songs.scr 
C:\Program Files\KaZaA\My Shared Folder\Anna Kournikova.scr 
C:\Program Files\KaZaA\My Shared Folder\All The Small Things All Screen Video.scr 
C:\Program Files\KaZaA\My Shared Folder\My Screen Saver.scr 
C:\Program Files\KaZaA\My Shared Folder\Telephone Numbers The Video.scr 
C:\Program Files\KaZaA\My Shared Folder\Fun Screen.scr 
C:\Program Files\KaZaA\My Shared Folder\MeGa CiBer ScReeN SavEr.scr 
C:\Program Files\KaZaA\My Shared Folder\Osama The King.scr 
C:\Program Files\KaZaA\My Shared Folder\Marc Tom And Travis.scr 
C:\Program Files\ICQ\shared files\ICQ Power Edition.exe 
C:\Program Files\ICQ\shared files\ICQ SMS Plus.exe 
C:\Program Files\ICQ\shared files\ICQ Screen Saver.scr 
C:\Program Files\ICQ\shared files\ICQ Millenium Screen.scr 
C:\Program Files\ICQ\shared files\ICQ Fire Screen.scr 
C:\Program Files\ICQ\shared files\ICQ Ice Screen.scr 
C:\Program Files\ICQ\shared files\ICQ Natural Screen.scr 
A:\Nude Screen.scr 
A:\SeX ScReen Saver.scr 
A:\Playboy Screen Saver.scr 
A:\Shakira Screen Saver.scr 

El gusano emplea el protocolo SMTP (Simple Mail Transfer Protocol) para conectarse a varios servidores de correo para su auto-envío masivo con los archivos infectados. 

Después de infectar un sistema, el gusano genera un archivo C:\The MegA BlINk Bat.bat, el cual busca la existencia de carpetas de los software PER Antivirus, Panda, McAfee y Norton y si las encuentra, el gusano intentar borrar su contenido. 

Este mismo archivo también sobre-escribe el AUTOEXEC.BAT en la unidad C:\ el mismo que crea un editor de registros de nombre BLINK.REG en el directorio de Windows, generando las siguientes llaves: 

[HKEY_LOCAL_MACHINE\Software\KasperskyLab\SharedFiles] 
avpfolder="Blink Folder"
VEDataFilePath="The Blink Path"
VEIndexFilePath="The Plink, the Blink, the Oink"
MainDir="Blink virus & the Batch company"
Folder="Plink it's the Blink guitarrist yeeeeeh!"

El gusano también genera el archivo C:\Dammit.txt, que contienen muchos mensajes en inglés. Blinkon crea además el archivo C:\Windows\Winstart.bat que emite este mensaje:

Estas Infectado Por Blink!!

También crea una entrada en el archivo C:\Windows\SYSTEM.INI, desde la cual invoca al archivo de nombre 182.exe, que es una copia del gusano, y que se ubica en la ruta C:\Windows\System con el propósito de ejecutarse la próxima vez que se inicie el sistema. 

El gusano borra las carpetas de los firewalls ZoneAlarm, BlackIce, Tiny y Sygate y modifica las siguientes configuraciones de Windows:

MouseTrails = "2" 
MouseSpeed = "0" 
DoubleClickSpeed = "900" 
ButtonFace = "100 10 90" 
ActiveTitle = "9 000 999" 
Menu = "9 9 9" 
Window = "900 200 555" 

Dentro del código viral de este gusano se puede leer el siguiente mensaje:

Blink Worm By RaZor/GEDZAC

PER ANTIVIRUS® versión 7.6 actualizado al 03 de Septiembre del 2002, detecta y elimina eficientemente este gusano.