VBS/Casechange@MM, I-worm.Casechange@mm

Casechange es un gusano destructivo, reportado el 17 de Febrero del 2003, de alta propagación masiva a través de un mensaje de correo con diversos formatos y archivos anexados, elegidos en forma aleatoria. Se difunde además vía el IRC (Internet Chat Relay), el ICQ, las populares redes Peer to Peer Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire y Gnucleus e infecta recursos compartidos de las unidades de red locales.  

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Haciendo uso de las las librerías MAPI (Messaging Application Programming Interface) se auto-envia a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, aunque limitando el número de destinatarios.

Sus formatos de mensajes son los siguientes:

Formato 1
Asunto: Fit to be King? 

Contenido: Are you fit to be King? Read this file to find out :) 

Anexado: Survey.vbs 

Formato 2
Asunto: Sent file 

Contenido: 
Hello, 
Here is the file that you asked for yesterday. 

Anexado: File1.vbs 

Formato 3
Asunto: Wanted file 

Contenido: 
Hello readers, 
This is the file that a lot of people have been asking for. I will only send this file once, SO please don't ask for this file again. 

Anexado: Important.vbs 

Formato 4
Asunto: The sample 

Contenido: 
Here is that sample that you asked for. Please email me back and tell me what you think :) 

Anexado: Sample.vbs 

En forma aleatoria, el archivo anexado puede ser generado de la combinación de 1 a 9 caracteres alfabéticos de la "a" hasta la "z", sin incluir la "ll" o "ñ", con la extensión .vbs 

Al ser ejecutado, el archivo se auto-copia a la carpeta %System% con el nombre MSUpdt32.vbs, que puede variar ligeramente en su composición de las letras mayúsculas y minúsculas. 

Para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
MSUpt32 = "Wscript.exe %System%\MSUpdt32.vbs %1"

También se copia en forma aleatoria al directorio %Windir%  o a la carpeta %System% con cualquiera de estos nombres: 

• MSUpdtc32.vbs
• WUnstc32.vbs
• WSrvc32.vbs
• MSinet32.vbs
• Wininet.vbs
• Setupmgr.vbs
• Instmgr.vbs
• Ocxmgr32.vbs
• Cabfldr32.vbs 

Luego reemplaza varios archivos en las siguientes carpetas: 

%Archivos de programa%\limewire\shared 
%Archivos de programa%\gnucleus\downloads 
%Archivos de programa%\gnucleus\downloads\incoming 
%Archivos de programa%\shareaza\downloads 
C:\My Documents\my music 
C:\my music 
C:\mymusic 
C:\kazaa\my shared folder 
C:\my downloads 
%Archivos de programa%\kazaa\my shared folder 
%Archivos de programa%\kazaa lite\my shared folder 
%Archivos de programa%\bearshare\shared 
%Archivos de programa%\edonkey2000\incoming 
%Archivos de programa%\morpheus\my shared folder 
%Archivos de programa%\grokster\my grokster 
%Archivos de programa%\icq\shared files 

Sobre-escribe todos los archivos con extensión .vbs y .vbe con su código viral. 

Luego agrega una segunda extensión .vbs a los archivos con las siguientes extensiones:

• mp3
• mp2
• mpg
• mpeg
• mpe
• avi
• mov
• dir
• jpg
• jpeg
• jpe
• gif
• png
• tif
• tiff
• pic
• art
• url 

Ejemplo: logotipo.jpg.vbs

El gusano se auto-envía a la Libreta de Direcciones de MS Outlook, con una máxima cantidad de destinatarios que varía entre 160 y 370 buzones de correo y para evitar enviar el mensaje más de una vez, almacena las direcciones ya remitidas, para lo cual genera esta llave de registro:

[HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/1stKing\EmailUsers] 

Este gusano también se propaga a través del IRC (Internet Chat Relay) si los sistemas infectados tiene instalados cualquiera de los software mIRC, Pirch o Visual IRC (VIRC), para lo cual rastrea las siguientes carpetas:

C:\mirc 
C:\mirc32 
%Archivos de programa%\mirc 
%Archivos de programa%\mirc32 

Si estas son halladas, el gusano crea un archivo script.ini, que contiene instrucciones para auto-enviar copias de sí mismo con el nombre About.vbe, la cual será almacenada en:

%system%\About.vbe 

Para infectar vía el software Pirch, el gusano busca en las siguientes carpetas:

C:\pirch 
C:\pirch32 
%Archivos de programa%\pirch 
%Archivos de programa%\pirch32 

Y si alguna de estas es hallada, genera en esa carpeta, un archivo llamado events.ini realizando la misma función de infección descrita en el caso del software mIRC. 

En tercer lugar rastrea las carpetas del VIRC:

C:\virc 
%Archivos de programa%\virc 

Si las encuentra, el gusano crea una llave de registro con la siguiente ruta: 

[HKEY_USERS\.Default\Software\meGALiTH Software\Visual IRC96\Events\Event17] 

La misma que cumple funciones similares a las anteriores, y en todos los casos infectará a los usuarios que se encuentren conectados en una misma sesión de chat.

En cada unidad de red local, excluyendo C:, el gusano se auto-copia al directorio raíz con los siguientes nombres:

\Uninstall.vbs 
\Install.vbs 

Finalmente el gusano genera la siguiente llave que alude a su autoría:

[HKEY_CURRENT_USER\Software\Zed/[rRlf]\VBS/1stKing]
default = "VBS/1stKing by Zed/[rRlf]"

Los payloads de este gusano son:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• Infecta a través de la mayoría de redes Peer to Peer.
• Infecta via Chat haciendo uso de los software más populares.
• Infecta via el ICQ.
• Infecta a través de redes compartidas, excluyendo la unidad C:
• Sobre-escribe todos los archivos con extensión .vbs y .vbe dejándolos inoperativos.
• Agrega una segunda extensión .vbs a archivos de varias extensiones.

PER ANTIVIRUS® versión 7.9 con registro de virus al 17 de Febrero del 2003 detecta y elimina eficientemente este gusano.