Duload.C

DULOAD.C, infecta vía correo y Kazaa, libera troyanos/backdoor, satura servidores y PCs.

W32/Duload.C@MM, I.worm.Duload.C@mm

DULOAD.C es un gusano reportado el 19 de Septiembre del 2002, de alta propagación masiva a través de mensajes de correo que no contienen Asunto, Contenido ni archivo Anexado y que infecta con tan solo visualizar el mensaje. También se difunde en la red de archivos compartidos Kazaa y las unidades de disco con archivos compartidos de las Redes LAN.

La característica de tener los campos mencionados del formato de correo, en blanco, y de infectar con tan solo visualizarlo lo convierten en gusano muy peligroso. Mas aún, cuando este gusano libera varios Troyanos/Backdoor, que permitirían a un hacker tomar un absoluto control de los sistemas infectados, en forma remota.

Está desarrollado en Visual Basic 6.0 y su código viral se encuentra oculto dentro del mensaje, en formato HTML.

Con una extensión de 22 KB, infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al visualizar el mensaje, el gusano crea la carpeta \EXPLORER32 en %System% y auto-copia su código viral a la capeta recién creada (%System%\Explorer32) con los siguientes nombres:

Half-LifeCrack.exe
Counter StrikeCrack_WORKING.exe
Counter Strike 1.5 Fix.exe
CSWallHack.exe
Half Life Hack.exe
Desktop Strippers Registered.exe
Never Winter Nights Crack.exe
GTA3 Invincible and all Weapons Cheat.exe
Eminem Screensaver Keygen.exe
Britney Spears Screensaver Keygen.exe
Kaspersky AntiVirus Crack.exe
Norton 2002 Update.exe
Mcafee 6 crack.exe
Norton 2002 crack.exe
Porn Passwords Gold.exe
Hack Porn Passwords.exe
AOL Hacker.exe
Free AOL.exe
Free Porn.exe
Korn Screensaver.exe
TooL Screensaver.exe
Star Wars Episode 2.exe
Star Wars Episode 3 trailer.exe
Britney Spears Nude.exe
Men In Black 2_FULL.exe
Norton SafeDisk.exe
Final Fantasy X.exe
CD Burner.exe
Pamela Anderson nude.exe
Lesbians.exe
Norton 2003.exe
Drowning Pool.exe
Drowning Pool Tribute.exe
Final Fantasy VII no CD crack.exe
Hax0r your n3ighb0r.exe
Windows XP Key.exe
SWAT uj.exe
KaZaALite73.exe
Adaware.exe
Zone Alarm Pro Crack.exe
Tiny Personal Firewall.exe
Unreal Tournament 3 crack.exe
12 SNES roms.exe
24 Genesis roms.exe
Speed Up Your Cable Connection.exe
Crack Games.exe
Game memory hacker.exe
Britney Spears Dance Beat Keygen.exe
Pink Stripping Screensaver Crack.exe
Shannon Elizabeth Screensaver Crack.exe
Amy Smart Screensaver Crack.exe
Unreal Tournament 2k3 Trainer.exe
Unreal Tournament 2k3 Cracker.exe
Find porn on your computer.exe
Porno Movie Downloader.exe
Mirc Keygen.exe
Pirch Keygen.exe
Updated Windows Kernel.exe
Windows Xp Keygen.exe
Windows Xp CD Key Changer.exe
Windows Xp Sp1 Crack.exe
Icq 2003a.exe
Icq 2003b.exe
Fucking Screensaver Keygen.exe
Free Files.exe
Free Everything.exe
Free Internet.exe
Free Xbox games.exe
Free Ps2 Games.exe
Free Dvds.exe
Free Movies.exe
Free Games.exe
Free Apps.exe
Free Music.exe
Free Mp3s.exe
KazaaLite.exe
Free Cable Uncapper.exe
Free Dsl Uncapper.exe
Roadrunner Cable Uncapper.exe
Qwest Dsl Uncapper.exe
Shaw Cable Uncapper.exe
Att Broadband Uncapper.exe
Visual Studio 6 Keygen.exe
Visual Studio.net Keygen.exe
Delphi 5 Keygen.exe
Delphi 6 Keygen.exe
Delphi 7 Keygen.exe
borland c++.exe
Turbo pascal.exe
Masm.exe
Tasm.exe
Mirc hacker.exe
Irc hacker.exe
Icq hacks.exe
Icq bomber.exe
Aim Bomber.exe
Irc bomber.exe
Msn Hacker.exe
Msn Bomber.exe
Msn Cracker.exe
Visual Basic Crack.exe
Visual Basic Helper.exe
Msdn.exe
Msdn Software Library.exe
Microsoft Root Codes.exe
Root Any FreeBsd Box.exe

Asimismo copia a las siguientes carpetas, estos archivos troyanos/backdoor:

C:\Windows\EB.EXE
C:\Windows\BB.EXE
C:\Windows\System\SRV_PORTSCAN.DLL
C:\Windows\System\SRV_PWINFO.DLL
C:\Windows\System\WINDRIVERS.EXE

Para poder ser ejecutado la próxima vez que se inicie el sistema, genera una llave en el registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows System Restorer = %System%\SystemRestorer.exe

Para ejecutar los archivos WINNTBB.EXE y WINDRIVERS.EXE, crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinNtBB = %Windir%\WinntBB.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinRunners = %System%\WinDrivers.exe

%System%, es una variable del Sistema de Windows y que por defecto es C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para NT/2000 o C:\Windows\System32 para Windows XP.

Estos archivos infectados contienen instrucciones para activar a todos los Troyanos/Backdoor.

También agrega dos llaves de registro, para verificar que las acciones de infección se ejecutaron con éxito:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
Duload YouAreInfected = "True"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Shell32 = "Shell32.exe"

Para facilitar su propagación a través de Kazaa, crea otra llave de registro que habilita las carpetas compartidas de la popular esta popular red:

[HKEY_CURRENT_USER\Software\KAZAA\LocalContent]
DisableSharing = "0"

Actualmente, los creadores de virus han convertido a Kazaa en uno de lo medios preferidos para la propagación de sus creaciones, debido a que ésta permite compartir archivos de videos, música MP3, fotografías, Chat interactivo, etc., en forma simultánea. Para ello es necesario instalar su software gratuito propietario en el sistema de cada usuario:

Este gusano tiene dos (2) payloads: saturación de de servidores, estaciones de trabajo, PC domésticas y de control remoto de los equipos infectados por medio de los Troyanos/Backdoor que libera.

PER ANTIVIRUS® versión 7.6 y 7.7 con registro de virus al 19 de Septiembre del 2002 detecta y elimina eficientemente este gusano y sus variantes.