|
VBS/Carmina@MM
Carmina es un nocivo gusano reportado el 29 de Agosto del 2002, que se propaga masivamente en mensajes de correo con un archivo anexado de apenas 8 KB con el nombre de Carmina.Gif.vbs, así como también a través de la red compartida Kazaa. Deshabilita antivirus y es destructivo ya que finalmente formatea el disco.
A pesar de tener Asunto y Contenido en inglés, el código viral muestra instrucciones y mensajes en español, lo que hace suponer que su autor es un conocido hacker de origen sudamericano, que con desordenada estructura de programación, trata de confundir a desarrolladores de antivirus y de diferenciar su ya conocido estilo.
Al ser ejecutado, el gusano se activa en memoria y crea un archivo de nombre Reg.reg en el directorio raíz C:\ mostrando el siguiente mensaje:
Al "Aceptar", el gusano crea la
carpeta C:\System y se auto-copia como C:\System\Kernel32.dll.vbs
para ejecutarse la próxima vez que se inicie el sistema agrega el siguiente
valor al registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Default" = "C:\Reg.reg"
Inmediatamente después muestra un segundo mensaje:
y al hacer clic en el botón "Aceptar" se auto-copiará en la raíz
con el nombre de C:\.vbs
para ejecutarse la próxima vez que se inicie el sistema agrega el siguiente valor
al registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Default = ""C:\.vbs"
Luego muestra el mensaje final:
y el gusano se auto-copiará esta vez con los siguientes nombres:
C:\Windows\CGCC.vbs
C:\Recycled\Carmina.vbs
C:\Recycler\Carmina.vbs
C:\Carmina.Gif.vbs
A continuación ejecutará el archivo C:\Reg.reg, el cual creará las llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Carmina" = "C:\.vbs"
"Antivirus" = "C:\Recycled\Carmina.vbs"
"Mp3" = "C:\Windows\CGCC.vbs"
"System" = "C:\System\Kernel32.dll.vbs"
Luego para alterar la configuración de Kazaa modificará las siguientes llaves:
[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"DisableSharing" = 0
[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0" = "012345:C:\CGCC"
A continuación intentará leer el valor de registro:
[HKCU\software\Carmina\execution]
Si éste no existe, lo creará, asignándole el valor "0". En caso contrario,
si dicho valor es mayor o igual a 2, mostrará el mensaje:
y procederá a modificar el AUTOEXEC.BAT
que formateará la unidad C:\ del disco duro la próxima vez que se inicie el sistema:
"@ECHO OFF"
"@ECHO ===================================================="
"@Echo Carmina"
"@ECHO ===================================================="
"Pause > Nul"
"Format C: /Autotest"
"@ECHO ========================================================="
"@Echo Como lo siento.."
"@ECHO ========================================================="
Luego buscará y borrará todos los archivos de las carpetas que corresponden a conocidos
antivirus:
C:\Archivos de Programa\Kaspersky Lab\Kaspersky Antivirus Personal Pro\*.*
C:\Archivos de Programa\Kaspersky Lab\Kaspersky Antivirus Personal\*.*
C:\Archivos de Programa\Antiviral Toolkit Pro\*.*
C:\Archivos de Programa\AVPersonal\*.*
C:\Archivos de Programa\Trend PC-cillin 98\*.*
C:\Archivos de Programa\Trend Micro\PC-cillin 2002\*.*
C:\Archivos de Programa\McAfee\McAfee VirusScan\*.*
C:\Archivos de Programa\Norton AntiVirus\*.*
C:\Archivos de Programa\Perav\*.*
Del mismo modo eliminará los archivos editores de registro:
C:\Windows\Regedit.exe (Windows 95/98/Me)
C:\Windows\System32\Regedt32.exe (Windows NT/2000/XP)
Sus payloads son los siguientes:
Dentro del código viral del gusano se puede leer:
"Todos te Amamos Carmina nadie te resiste eres muy Sexy"
Que le podemos hacer no nos culpes"
Rem Dedicado a la mujer mas bella del World, Carmina
Rem Pink también te adoramos a si que est0 es también dedicado a ti.. y visita )v(xK0 y has un concierto y no olvides cantar Get
The Party Started..
PER ANTIVIRUS® versión 7.6 con registro de virus al 29 de Agosto del 2002, detecta y elimina eficientemente este gusano.
