|
W32/Blitzdung@mm, I-worm.blitzdung@mm
Blitzdung es un novedoso gusano, aparentemente originario de Hong Kong (+8 GMT), reportado el 05 Febrero del 2003 de propagación masiva, vía mensajes de correo con un archivo anexado de nombre setup32.zip a través del Java Mail API, que es la plataforma y protocolo independiente de envío de mensajes de la tecnología Java.
También se difunde vía el IRC (Internet Chat Relay) y borra archivos del sistema.
Aunque consideramos que su propagación no será muy exitosa, este gusano tiene una técnica de programación muy peculiar, ya que para infectar, requiere que el sistema tengan instalado Yahoo Messenger y el JavaBean Activation Framework.
Escrito en Java y compilado con el JexePack, como un ejecutable Win32, ocupa una extensión 11 KB y contiene además el archivo comprimido mail.jar, dependiendo su activación de la presencia de varias librerías Java.
Una vez ejecutado el archivo se auto-copia al directorio raíz de %Windir% con los siguientes nombres:
Aleatoriamente en algunos sistemas se copia como:
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
También intenta descargar el archivo no.exe de un sitio web ubicado en Geocities, actualmente deshabilitado, y genera las siguientes llaves de registro para ejecutar 3 programas al siguiente inicio del sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
je32 = sin.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
hi32 = aws32.bat
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
weq = no.exe
El gusano captura las direcciones del archivo de registro (log file) de Yahoo Messenger y se auto-envía a cualquier canal de Chat que visite el usuario con el sistema infectado. Asimismo trata de liberar una copia del virus Elkern.C en determinadas fechas y sobre-escribe archivos del sistema operativo.
Para difundirse por el IRC (Internet Chat Relay) el gusano copia el SCRIPT.INI del software mIRC en el directorio raíz de Windows, el cual se activa cada vez que un nuevo usuario se une al canal de Chat cuando un sistema infectado se encuentre conectado. Este mismo script le envía el siguiente mensaje:
| [Usuario_recién_conectado]
please accept the file patch.zip it has a patch that is
used to kill the new mirc virus named BLITZKRIEG.A so please accept
it and and install it please take note that this file will be sent
to you only if you have the virus in your pc for more information go to www.mirc.com |
Luego el script envía un mensaje al usuario de la computadora infectada:
| please send the file that is being sent now to the user
Roberto.Huarcaya@yahoo.com coz this is a patch that is used to kill a new mirc virus and this file will be send to every user who has the virus named BLITZKRIEG.A for more information about the virus go to www.mirc.com please save the mirc from shutting down |
Después de los mensajes, el script intenta enviar al más reciente usuario, una copia de sí mismo con el nombre de patch.zip a través de un DCC (Direct Control Command) y de conseguirlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.
Su payload final consiste en borrar los siguientes archivos del sistema los días 24 de cada mes:
shell32.dll
advapi32.dll
advpack.dll
afvxd.vxd
amstream.dll
appwiz.dll
asfsipc.all
asycfilt.dll
avifil32.dll
avifil.dll
awcodc32.dll
atl.dll
bindfile.dll
bios.vxd
cabinet.dll
cool.dll
cryptext.dll
cryptnet.dll
desk.cpl
desktop.ini
dmstyle.dll
dmloader.dll
dmsynth.dll
WMSDrmStor.dll
ENABLE3.dll
ES.DLL
EXPSRV.DLL
ExSec32.dll
ICM32.dll
icmp.dll
KERNEL32.dll
KEYBOARD.drv
PER ANTIVIRUS®
versión 7.9 con registro de virus al 05 Febrero del 2003 detecta y elimina
eficientemente este gusano.
Nota: existe una diferencia de 13 horas entre Perú (-5 GMT) y Hong Kong (+8 GMT)
