Trilisa, de propagación masiva, borra el Regedit y archivos de diversas extensiones  

© Jorge Machado  Lima-Perú

W32/Trilisa@MM, I-worm.Orkiz, W32/Musicalnightmare@MM,

Trilisa es un gusano reportado el 23 de Abril del 2002, de difusión masiva vía correo electrónico en un mensaje con el archivo anexado OperacionTriunfo.scr, alusivo a un popular programa de concursos de la televisión española, el mismo que tiene una programación muy compleja contenida en sus 136 KB de extensión.

Este es un PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Trilisa ha sido desarrollado en lenguaje Visual Basic 6.0, tiene 136 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano crea las siguientes llaves en el registro de Windows:

 

[HKEY_CLASSES_ROOT\exefile\shell\open\command\Default "]
 "(Default)" c:\system32 - Veronica la mejor!!.exe "%1" %*

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"(Default)" c:\eurovision.vbs

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"(Default)" c:\Command.com.vbs

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce "]
"(Default)" c:\x.vbs

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "]
"(Default)" c:\system32 - Veronica la mejor!!!.exe

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo. 

El gusano coloca un VBScript residente en memoria. Cuando se cierra la aplicación WSCRIPT, con la que se ejecuta este script, el gusano muestra cuatro cajas de diálogo:

 

 

 

 

 

La técnica de infección de este gusano es la modalidad "companion", mediante la cual se auto-copia con el nombre del archivo que va a infectar, cambiándole la extensión a .EX_ y cuando se ejecute el archivo infectado, se activará en primer lugar el archivo renombrado, que contiene el código viral y posteriormente el archivo original para no despertar sospechas del usuario con el sistema infectado. 

 

Crea los siguientes archivos con sus payloads:

 

c:\system32 - Veronica la mejor!!.exe : son copias del gusano.
a:\Polvazo.scr  
c:\OperacionTriunfo.scr 
c:\Command.com.vbs : es el script encargado de enviar el gusano por correo electrónico.
c:\x.vbs : emite las cuatro cajas de diálogo en la pantalla.
c:\eurovision.vbs :borra los archivos regedit y regedb32 y los que tengan las siguientes extensiones:

 

.ace, .arj, asf, asm, .avi, .bmp, .doc, .gb, .gba, .gbc, .gif, .jpeg, .jpg, .js, .lhz, .log, .mdb, .mid, .mod, .mov, .mp, .mp2, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .rm, .rtf, .smc, .txt, .wav, .wp, .xls, .zip

PER ANTIVIRUS® versión 7.4 con registro de virus al 23 de Abril del 2002 detecta y elimina eficientemente este gusano y sus variantes.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS