|
W32/Coronex@MM, W32/Sars@mm, I-worm.Coronex@mm
Coronex es un gusano reportado el 22 de Abril del 2003, de propagación masiva a través de un mensaje de correo con 7 formatos con Remitente, Asunto, Contenido y archivos anexados, elegidos en forma aleatoria, todos alusivos al SARS (Síndrome Respiratorio Agudo Severo) originario de Hong Kong y que ha empezado a contagiarse en varios paises del mundo.
Para su envío usa la técnica Email spoofing, consistente en encubrir o disfrazar las verdaderas direcciones de los Remitentes. Se difunde además, vía redes Peer to Peer como Kazaa, BearShare, eDonkey, Morpheus, etc.
La muestra nos fue enviada por un miembro del portal de Indonesia:
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Assembler y tiene 12 KB de extensión
Haciendo uso de un específico servidor SMTP (Simple Mail Transfer Protocol) se auto-envía a todos los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book).
Sus formatos de mensajes son los siguientes:
Formato
1
Remitente: sars@hotmail.com
Asunto:
SARS
Contenido: Severe Acute Respiratory Syndrome
Anexado: sars.exe
Formato 2
Remitente: sars2@hotmail.com
Asunto:
SARS
Contenido: I need your help
Anexado: corona.exe
Formato 3
Remitente: corona@hotmail.com
Asunto:
SARS
Contenido: Virus Alert!
Anexado: virus.exe
Formato 4
Remitente: virus@yahoo.com
Asunto: Corona Virus
Contenido: honk kong
Anexado: hongkong.exe
Formato 5
Remitente: deaths@china.com
Asunto: deaths virus
Contenido: bye
Anexado: deaths.exe
Formato 6
Remitente: virus@china.com
Asunto: SARS
Contenido: SEE Ya
Anexado: sars2.exe
Formato 7
Remitente: virus2@china.com
Asunto: SARS
Contenido: SARS Corona Virus
Anexado: cv.exe
Al ejecutar el archivo, el gusano se auto-copia a la carpeta %Windir% con el nombre de corona.exe y para activarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PC-Config32" = "%Windir%\corona.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al re-iniciar el equipo se muestra por breves segundos una pequeña ventana en el Escritorio de Windows:
Inmediatamente el archivo infectado corona.exe se incrementa en varios Megabytes de extensión y ejecuta su proceso de auto-envío masivo de mensajes de correo, a través del servidor SMTP ns.execulink.com (ubicado en Canadá), hacia todos los buzones de la Libreta Global de Windows WAB (Windows Address Book).
Esta rutina de envío es realizada una vez cada hora.
Para infectar a través de las redes Peer to Peer el gusano se auto-copia a C:\My Downloads, correspondiente a las carpetas de descarga de las mismas, con los siguientes nombres de archivos:
En caso que la carpeta C:\My Downloads no existiese, estos archivos se copiarán a la carpeta que se encuentre en uso, del sistema infectado.
Finalmente el gusano crea una llave de registro para cambiar la página de Inicio del navegador:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page" =
"http://www.who.int/csr/don/2003_04_19/en"
Cuando el sistema infectado se conecte a Internet, accederá a la página dedicada a la enfermedad, ubicada en el portal de la Organización Mundial de la Salud.
Los payloads de este gusano son:
PER ANTIVIRUS® versión 8.0 con registro de virus al 22 de Abril del 2003 detecta y elimina eficientemente este gusano.
Nota: existe una diferencia de 12 horas
entre Perú (-5 GMT) e Indonesia (+7 GMT)
