DUNI, se propaga por diversos medido. Intenta deshabilitar McAfee, AVP y PER Antivirus.  

(c) Jorge Machado  Lima-Perú

I-Worm.Duni, Win32/Duni@mm

Duni es un gusano reportado el 03 de Junio del 2002, que se propaga masivamente vía Internet, que se auto-envía a todos los contactos del MSN Messenger (http://messenger.msn.com), haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger,  en un mensaje de correo con un archivo anexado de una diversa gama de nombres aleatorios con la extensión .cpl, (Control Panel Applet).

Es un PE (Portable Ejecutable) de 230k de extensión, desarrollado en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de los Antivirus:

http://upx.sourceforge.net

Al ejecutar el archivo infectado éste se copia al directorio raíz C:\ y al subdirectorio c:\windows o c:\winnt. El archivo usa un número aleatorio con la extensión .cpl.

Para ser ejecutado la próxima vez que se inicie el sistema agrega un valor a la llave del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Default = C:\WINDOWS\1708.cpl

Duni captura las direcciones de correo de la Libreta de Contactos de MSN Messenger de la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]

y se auto-envía a través del servidor SMTP (Simple Mail Transfer Protocol) mail.hotmail.com

El gusano también intenta propagarse a través de la red Kazaa leyendo el siguiente registro:

[HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0]

Si el usuario ejecuta el archivo psycho.scr, el gusano intentará auto-registrarse como un servicio, utilizando las funciones API (Aplication Programming Interfase) específicas para MS Windows 95/98/Me e inmediatamente se auto-copiará como:

C:\system32.exe

C:\Archivos de Programa\psycho.scr

y para poder activarse la próxima vez que se inicie el sistema crea la siguiente llave en el registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run]
msn=C:\system32.exe

Luego creará el archivo kiltro.dat, el cual contiene las direcciones de correo de cada uno de los contactos obtenidos desde el .NET Messenger para proceder a auto-enviarse masivamente.

Su payload final se manifestará a través de mensajes entre los meses de Abril y Diciembre, con el título "KILTRO * MSNWorm" y alguno de los siguientes textos elegidos al azar:

Programado en Santiago de Chile por 4D2

¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!

GUERRA AL SIONISMO

CRACKING, MARIGUANA & PsichoBilly

NSALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPAÑA EL CAURO!!!) y pa mi compaire ALSINO',0

SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA

PER ANTIVIRUS® versión 7.3 actualizado al 19 de Febrero del 2002, detecta y elimina eficientemente este gusano.                  

Ir al menú anterior

Regresar al Portal de PER SYSTEMS