GIGGER, infecta a través de E-mail y Chat, neutraliza archivos, formatea disco duro. 

© Jorge Machado  Lima-Perú

JS/Gigger, JS/Gigger.A, JS.Gigger.A@mm

Gigger es un gusano reportado el 11 de Enero del 2002, de gran difusión masiva en Internet ya que infecta a través de mensajes de correo o del canal de Chat IRC (Internet Chat Relay), de gran peligrosidad debido a que dentro de su código viral posee rutinas destructivas capaces de neutralizar todos los archivos del disco duro y de formatearlo.

Este gusano ha sido desarrollado en JavaScript, tiene 8k de extensión e infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, en un mensaje de correo con un archivo anexado de nombre Mmsn_offline.htm:

Gigger se activa únicamente si el usuario que recibe el mensaje infectado abre el archivo anexado. Una vez producida la infección el gusano se auto-copiará en las siguientes carpetas y/o unidades:

C:\B.HTM

C:\BLA.HTA

C:\WINDOWS\help\mmsn_offline.htm

C:\WINDOWS\SAMPLES\WSH\Charts.js

%unidad%\Start Menu\Programs\StartUp\msoe.hta (en unidades de red)

En forma simultánea Gigger modificará el archivo AUTOEXEC.BAT, agregándole el comando que permitirá formatear el disco duro la próxima vez que inicie Windows:

Echo

Format C:

Luego con el objeto de activar su código viral la próxima vez que se inicie Windows modificará las siguientes llaves del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
NAV DefAlert=C:\Windows\help\mmsn_offline.htm

Adicionalmente, creará las siguientes llaves del registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout]

[HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0]

Además, el gusano realiza una búsqueda en todas las carpetas del disco del archivo MIRC.INI, que está relacionado directamente con el SCRIPT.INI, en el caso que el usuario con el sistema infectado tenga instalado el software mIRC, para comunicaciones vía Chat a través de Internet. 

Si no lo encuentra, lo sobre-escribe con su propio SCRIPT.INI, con el objeto de infectar a todos los usuarios que se encuentren conectados en una misma sesión de Chat. Esta infección tendrá un efecto multiplicador, la próxima vez que cualquier usuario con su sistema ya infectado se conecte a una nueva sesión.

El SCRIPT.INI es un archivo de comandos del software mIRC y es capaz de afectar a éste y a cualquiera de los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este Script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

Su payload final consiste en la búsqueda de todas las unidades de red disponibles para auto-copiarse a todas las estaciones de trabajo con el nombre de \Windows\Start Menu\Programs\StartUp\Msoe.hta, para luego finalmente eliminar todos los archivos del disco duro local.

PER ANTIVIRUS® versión 7.3 con registro de virus al 11 de Enero del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS