HUNCH/THD16, gusano peruano se propaga masivamente via E-mail, borra archivos del sistema.

© Jorge Machado  Lima-Perú

I-worm-Hunch, W32/THD16@MM 

Hunch es un gusano reportado el 10 de Abril del 2002. Se propaga masivamente mediante el envío de mensajes de correo electrónico con un archivo anexado de nombre: poblacion peru 2002.htm.EXE, cuyo nombre y asunto pueden variar, excepto la doble extensión. Hay evidencias que el autor sea alumno de una Universidad del interior del país.

Haciendo uso de las funciones de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, borra archivos del sistema infectado y se auto-copia a los diskettes que se inserten en el drive A:

El tamaño del archivo enviado es de 72k y es un PE (Portable Ejecutable) que infecta infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me/XP 95/98/NT/Me/2000, incluyendo los servidores NT/2000. 

El texto del mensaje es el siguiente:

Al ejecutar el archivo anexado, se muestra la siguiente imágen:

En la parte superior de la imagen se lee una falsa dirección de correo:

te_necesito_ahora@hotmail.com

El gusano se auto-copia a la carpeta C:\Windows\System con el nombre THD16.EXE y MSOFFICE.EXE y para ejecutarse la próxima vez que se inicie el sistema crea el siguiente registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
THD16=C:\WINDOWS\SYSTEM\THD16.EXE

Hunch tiene los siguientes payloads destructivos:

Borra 5 archivos del directorio y sub-directorio de Windows que tengan las siguientes extensiones:

Inmediatamente el gusano intenta sobre-escribir el AUTOEXEC.BAT con el propósito de borrar archivos del sistema y finalmente formatear el disco, haciendo uso de estas instrucciones:

@echo off
DEL \*.SYS \*.DLL \*.OCX CLS > FORMAT C: /u /v:THD16 /autotest

Cada vez que detecta un diskette en la unidad A: se auto-copia a su directorio raíz.

Las acciones realizadas por el gusano son escritas en 2 archivos en la carpeta C:\Windows\System:

ListWin.txt (un archivo log de los últimos 5 archivos que el gusano borró)

WinList.txt (un archivo log con los nombres de los archivos que el virus usó para auto-copiarse a la unidad A:

PER ANTIVIRUS® versión 7.4 con registro de virus al 10 de Abril del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS