Gruel.H

GRUEL.H, destructivo gusano de Correo y Kazaa, borra archivos y carpetas del sistema.

W32/Gruel.H@mm, I.worm.Gruel.h@mm

Gruel.H es un gusano destructivo reportado el 21 de Julio del 2003, de alta propagación masiva a través de un mensaje de correo con un archivo de nombre Rundll32.exe que simula pertenecer a Norton Antivirus y que protege de un supuesto virus de Internet.

Se difunde además vía la red Peer to Peer Kazaa con un archivo que aparenta ser un video de la película Matrix Reloaded 2.

El gusano borra archivos del sistema y carpetas de %System% deshabilitando al sistema operativo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual Basic 6.0, tiene 100 KB de extensión.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El mensaje tienen las siguientes características:

Al ejecutar el archivo el gusano se auto-copia al directorio raíz de C:\ como Root.exe y para ejecutarse la próxima vez que se inicie el sistema, crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Rundll32" = "C:\Root.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExe]
"DevicePath" = "C:\Root.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MediaPath" = "C:\Root.exe"

También crea las llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"ProxyDevice" = "C:\Root.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup]
NetCache="C:\Root.exe"

Para almacenar información crea las siguientes llaves:

[HKEY_CURRENT_USER\Software\kIlLeRgUaTe 1.03]

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
\KILLERGUATE

Adicionalmente el gusano crea una carpeta denominada kIlLeRgUaTe 1.03, similar a Mi PC y Mis sitios de Red y para lo cual genera estas llaves de registro:

[HKEY_CLASSES_ROOT\CLSID\{8C6D8BD6-116B- 4D4E-B1C2-87098DB509BB}
"default" = "kIlLeRgUaTe 1.03"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ControlPanel\
NameSpace\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop
NameSpace\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}

En caso de hacer doble click en el ícono de esta Carpeta Shell se ejecutará una copia del gusano.

Para ejecutarse automáticamente cada vez que se activan archivos con las extensiones .EXE, .COM, .PIF, .BAT, .HT o .HTA el gusano modifica las llaves de registro:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] %1"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] %1"

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] %1"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] %1"

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] %1"

[HKEY_CLASSES_ROOT\htfile\Shell\Open\Command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] %1"

Al siguiente re-inicio el gusano borra los siguientes archivos:

C:\autoexec.bat
C:\config.sys
C:\WINNT\system32\ntoskrnl.exe
C:\WINNT\system32\command.com
C:\WINNT\regedit.exe
C:\windows\system32\ntoskrnl.exe
C:\windows\system32\command.com
C:\windows\regedit.exe
C:\WINNT\system32\*.exe
C:\WINNT\system32\*.com
C:\WINNT\system32\*.dll
C:\WINNT\system32\*.ocx
C:\windows\system32\*.dll
C:\windows\system32\*.ocx
C:\windows\system32\*.exe
C:\windows\system32\*.com
C:\WINNT\Program Files\Norton AntiVirus\NAVW32.exe
C:\windows\Program Files\Norton AntiVirus\NAVW32.exe

Tambien borra estas carpetas:

C:\WINNT\system
C:\windows\system
C:\WINNT\system32
C:\windows\system32
C:\inetpub\wwwroot

Cambia el título de la barra de Internet Explorer al generar la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE I dOn'T hAvE NoThInG tO dO!!"

Deshabilita las funciones de SEARCH y RUN del sistema.

Para infectar vía Kazaa, el gusano se auto-copia con el nombre del archivo Matrix Reloaded 2 avi.exe en las carpetas:

C:\Windows\Program Files\Kazaa\My Shared Folder
C:\WINNT\Program Files\Kazaa\My Shared Folder

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
El mensaje simula contener un archivo de Norton Antivirus, que protege de un supuesto virus de Internet.
Infecta a través de la red Kazaa.
Muestra falsos mensajes de error.
Se ejecuta automáticamente cada vez que se abren archivos de diversas extensiones.
Cambia el título de la barra del Internet Explorer.
Abre la bandeja de la lectora de CD-ROM.
Deshabilita las funciones de Search y Run.
Borra archivos y carpetas del sistema.
Será necesario re-instalar Windows.

PER ANTIVIRUS® versiones 8.1 y 8.2 con registro de virus al 21 de Julio del 2003 detectan y eliminan eficientemente este gusano.