Wanor

WANOR, gusano de propagación masiva con tema alusivo a la Guerra parpadea el LED de la tecla Num Lock.

W32/Wanor@mm, W32/Nowar@mm, I-worm.nowar@mm

Wanor es un gusano reportado el 19 de Marzo del 2003, de alta propagación masiva vía mensajes de correo, con un archivo anexado de nombre Winscr.scr. También intenta difundirse vía el ICQ y las populares redes Peer to Peer Kazaa, BearShare, eDonkey, Morpheus, Grokster y LimeWire.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Visual C++, con una extensión de 69.5 KB y no se encuentra comprimido ni encriptado.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El Contenido del mensaje tiene 2 enlaces de índole político, relacionados al conflicto bélico de los Estados Unidos contra Irak:

http://www.punchdown.org/rvb/F15/
http://www.sundayherald.com/28224/

Al ejecutar el archivo anexado, el gusano se auto-copia a las carpetas %Windir% y %System% con los siguientes nombres:

%Windir%\Winscr.scr
%Windir%\INF\Winm.exe
%System%\Msdepw32.dll
%System%\Msdtv.dll

Los archivos Winscr.scr y Winm.exe son copias del gusano y Msdepw32.dll es usado para registrar el número de veces que éste es ejecutado. El archivo Msdtv.dll tiene "0" bytes.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows main module = "%Windows%\Inf\Winm.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Windows main module = "%Windows%\Inf\Winm.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
Windows main module = "%Windows%\Inf\Winm.exe"

[HKEY_USERS\Win98\Software\Microsoft\Windows\CurrentVersion\Run]
Windows main module = "%Windows%\Inf\Winm.exe"

Al activarse el gusano, procede al envío masivo de mensajes de correo y se activa en memoria consecutivamente. A la vigésima ejecución, oculta los iconos del Escritorio de Windows, el Menú de Inicio y muestra en pantalla el siguiente mensaje:

Finalmente hace parpadear el LED indicador de la tecla Num Lock.

Debido a errores en su programación (bugs), su rutina de propagación a través de las redes Peer to Peer no es ejecutada eficientemente.

Asimismo, fue programado para enviar un mensaje a la Casa Blanca, pero también falla en su intento:

Destinatario: president@whitehouse.gov:
Asunto: NOT WAR! ARE YOU THE ONLY DANGER FOR THE WORLD, FOR THE HUMANITY AND FOR THE HUMAN BEING
Contenido:You show us every day the danger that you represent for the world.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
En su vigésima ejecución oculta los iconos del Escritorio de Windows y el Menú de Inicio.
Muestra un mensaje en la pantalla y hace parpadear el LED indicador de la tecla Num Lock.
Falla en su intento de propagarse vía las redes P2P así como al tratar de enviar un mensaje de correo al Presidente de los Estados Unidos.

PER ANTIVIRUS® versión 7.9 y 8.0 con registro de virus al 19 de Marzo del 2003 detecta y elimina eficientemente este gusano.