VBS/Gpremier@mm, I-worm.gpremier@mm

Gpremier es un gusano reportado el 08 de Febrero del 2003, de propagación masiva, principalmente en los países de habla hispana, por mencionar supuestamente a Bill Gates, de Microsoft Corporation. Se auto-envía en mensajes de correo con un archivo anexado de nombre gpremier.vbs, de 8 KB de extensión, el mismo que contiene y libera el gusano VBS/CandyLove, que el 14 de Febrero borra todos los archivos de las carpetas de Windows, entre otros de sus muchos destructivos estragos.   

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Al ser ejecutado, el archivo se auto-copia a la carpeta %System% con su mismo nombre, Gpremier.vbs y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
gpremier = "wscript.exe C:\%System%\gpremier.vbs %"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Una vez activado, el gusano verifica en primer lugar, el valor HTML en la llave: 

[HKEY_CURRENT_USER\software\gpremier]

Y si este valor es diferente a "1", el gusano libera e inserta el código viral del gusano VBS/CandyLove a todos los archivos con extensión .HTML como parte integral, y para no volver a infectar cualquier archivo, más de una vez configura el valor de HTML a 1: 

[HKEY_CURRENT_USER\software\gpremier]

Igualmente lo hace con el valor de MAIL (correo) en esa misma llave y si éste es diferente a "1" procede al auto-envío masivo de correo. 

Luego configura el valor de MAIL a "1" para no volver a ejecutar la rutina de envío masivo de correo.

También altera la configuración del Internet Explorer modificando la página de inicio a la dirección:

http://www.gpremier.com.mx

La cual corresponde a un centro de enseñaza superior de Computación en México, que hace presumir el origen del autor de esta especie viral.

El gusano además altera varias llaves de registro y escribe en la ventana del Internet Explorer la siguiente frase:

Verifica el valor HANG (colgar) en la misma llave [HKEY_CURRENT_USER\software\gpremier], realizando las siguientes acciones:

• Si el valor no ha sido establecido, el gusano lo configura a "0" 
• Si el valor es igual o mayor a "10" el gusano ejecuta 101 copias de C:\Windows\Notepad.exe y configura el valor a "0", pero si este valor es inferior a "10" lo reemplaza por "1" 

Verifica el valor DELETE (borrar) en el mismo registro:

[HKEY_CURRENT_USER\software\gpremier]

Si el valor no ha sido establecido, el gusano lo configura a "0"
Y si el valor es igual o mayor a "3", el gusano procede a borrar los siguientes archivos:

• Todos con la extensión .jpg en el directorio C:\Windows.
• Todos con la extensión .bmp en las carpetas de C:\Windows.
• Todos los archivos en las carpetas del "Escritorio" (desktop) de Windows.
• Todos los archivos en la carpeta "Mis documentos".

Después de estos procesos el gusano configura el valor a "0" en la misma llave.

Si el valor es inferior a "3", el gusano le cambia al valor de "1" 

Luego hace copias de sí mismo con los siguientes nombres:

• Leme.txt.vbs
• Importante.txt.vbs
• Archivo.vbs
• Juegos.vbs
• Mensaje.txt.vbs
• Solitario.vbs

Finalmente escribe "www.gpremier.com.mx", como teclas digitadas, a la aplicación que se encuentre activa.

Sus payloads son los siguientes:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• Libera el destructivo gusano CandyLove.
• Cambia la página de Inicio de Internet Explorer y escribe una frase en su ventana.
• Escribe una dirección de Internet en la aplicación o programa de Windows que se encuentre activada.
• Borra archivos de diversas extensiones.
• Ejecuta 101 copias del archivo Notepad.exe.
• El el 14 de Febrero el gusano liberado CandyLove, borra los archivos de todas las carpetas de Windows, ejecuta 1001 copias del Notepad.exe y cuelga el sistema.  

PER ANTIVIRUS® versión 7.9 con registro de virus al 08 de Febrero del 2003 detecta y elimina eficientemente este gusano.