Alma

ALMA, destructivo gusano infecta vía correo, Kazaa, IRC y formatea el disco duro.

Win32/Alma, W32/Lama, I-Worm.Alma

Alma es un gusano reportado el 06 de Agosto del 2002, que se propaga masivamente en mensajes de correo con un archivo anexado de diversos nombres, con extensión .exe y se auto-envía a todos los contactos de la libreta de direcciones de Microsoft Outlook. También tiene la capacidad de propagarse a través de conocidos canales de Chat o de servicios de Mensajería Instantánea y finalmente formatea el disco duro.

Este gusano tiene una anécdota peculiar: el 09 de Julio del pte., un mensaje de correo, conteniendo la muestra respectiva, fue enviado a nuestro departamento de investigación por su autor, auto-identificado como "Razor", a manera de reto, lo cual sucede con frecuencia:

Este gusano PE (Portable Ejecutable) infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Está desarrollado sofisticadamente en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de varios Antivirus:

http://upx.sourceforge.net

Cuando el archivo infectado se ejecuta, el gusano se auto-copia a las siguientes carpetas con diferentes nombres:

C:\%windir%\Alma.exe
C:\Test Sexi.exe
C:\Norton Antivirus Gold Edition 2002.exe
C:\Parche.exe
C:\Trampa Do Brasil.exe
C:\Cplremove.exe

Después de infectar un sistema, intenta deshabilitar 4 antivirus: VirusScan de McAfee, AVP, Norton y PER Antivirus.

C:\Archiv~1\Perav\Pav.Dll
C:\Program Files\Perav\Per.Dll
C:\Bases\Avp.Set
C:\System32\Vshield.Vxd
C:\Archivos De Programas\Norton Antivirus\Navdx.exe

Luego crea los siguientes archivos Visual Basic Scripts:

C:\Mi Alma Al Aire.vbs
C:\ErGrone.vbs

Tanto los asuntos como los archivos anexados son elegidos en forma aleatoria de nombres o frases contenidas dentro del código del gusano.

Remitente, cualquier dirección de correo capturado del sistema infectado.

Asunto: Limpia Tu Alma!
Mensaje:
Hola! Limpia Tu Alma Con Este Nuevo Programa!
****** Limpia Tu Alma Con: Alma Star jajaja a mi si me funsiono pruebalo tu!!
Anexado: Alma.exe

Asunto: Un Test Muy Sexi!!
Mensaje:
Prueba Este Test Sexi jajajaja
Cuidado Y Te Exitas
Anexado: Test Sexi.exe

Asunto: Yo Te Amo Pero...
Mensaje:
Yo Te Amo Pero Yu No Me Comprendes!!
Mi Amor Por Ti Es Icreible Pero Tu No Lo Ves...(Mira El Archivo Y Te Daras Cuenta)
Anexado: Lo Que Siento.exe

Asunto: Shakira Y Cristina Aguilera Desnudas!!
Mensaje:
Hola, jejejjeje Mira Este Programita
jajjaja Ta Bien Bueno ;)
Anexado: Porn Stars.exe

Asunto: Nuevo Antivirus!
Mensaje:Hola Al Fin Y Consigo Un Buen Antivirus Aqui Te lo paso!
Anexado: Norton Antivirus Gold Edition 2002.exe

Asunto: Alerta!!
Mensaje:
A Qui Te Mando Un Parche De Windows Para Internet Explorer, El Parche Es Para El IFrame En Este Sitio Encontraras Mas Informasion
http:/ /msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/reference/objects/IFRAME.asp
Anexado: Parche.exe

Asunto: !!Kamasutra El Arte Del Sexo!! ;)
Mensaje: jejejeje Mira Este Chiquito Pero Efectivo Manual Sobre Como Hacer El AMor ;)
Anexado: Kamasutra.exe

Asunto: Borracho!! jajaja
Mensaje: Mira Como Se Siente Estar Borracho jajajja, Es Verdadero :)
Anexado: Cerveza.exe

Asunto: SeX Player 2
Mensaje: Este Es EL Mejor Programa Del mundo Puras Putas Y Putos Y Hacen Lo Que Les Digas!
Anexado: Sex Player 2.exe

Asunto: COMO ES UNA PUTA :)
Mensaje: jejejeje Mira Como Se Siente Ser Puta! ;)
Anexado: Soy Puta.exe

Asunto: El Culito...
Mensaje: jajaja Mira El Culito De Mi Prima Y Dime Que Te Parese!! ;) www.megaculos.com
Anexado: Culo.exe

Asunto: Msturbate!
Mensaje: Este Es El Mejor Programa Para Masturbarte ;)
Anexado: Masturbate.exe

Asunto: Mi Mejor Follada!
Mensaje: Haller Tuve Mi Mejor Follada Y La E Grabado En Un Programa Mirala Y Dime Si Te Gusta ;)
Anexado: Mi Follada.exe

Asunto: Miss Universo 2002 Desnuda!!
Mensaje: Con Este Programa Puedes Ver A Miss Universo 2002 Desnuda totalmente!!
Anexado: Miss Universe Nude.exe

Asunto: Brasil Iso Trampa En El Mundial!!
Mensaje: Con Este Programa Podras Ver Como Brasil Iso Trampa En El Mundial Korea Japan 2002!
Anexado: TRAMPA DO BRASIL.exe

Asunto: Cura Para Dadinu El Virus CPL!
Mensaje: Hola Aqui Te Mando La Cura Para Dadinu El Virus CPL!
Anexado: CPLREMOVE.exe

Luego agrega el siguiente valor al registro, creando una marca de infección utilizada para no volver a propagarse e infectar el sistema.

[HKEY_CURRENT_USER\Software\ErGrone_sent yea]

Con el propósito de activarse la próxima vez que inicie el sistema agrega el siguiente valor al registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Alma = C:\%windir%\Alma.exe

Adicionalmente crea el archivo C:\Alma Destructora.bat que formatea el disco duro:

@cls
@Format C:\autotest
@Format A:\autotest

También se auto-copia a la carpeta C:\Program Files\KaZaA\My Shared Folder y se propaga a través de la popular red compartida Kazaa con los siguientes archivos:

Norton Antivirus 2002.exe
Hotmail Crack Tools.exe
Madonna All Videos.exe
Fifa World Cup Kora Japan 2002.exe
Gamecube All Tricks.exe
The Sexy Nigths Show.exe
C:\Osama Bin Ladem Game.exe
Kaspersky Lab.exe
Playstation 2 All Tricks.exe

Alma también tiene la capacidad de propagarse a través del software de chat mIRC infectando a todos los usuarios que compartan una misma sesión.

PER ANTIVIRUS® versión 7.6 con registro de virus al 10 de Julio del 2002, ya detectaba y eliminaba eficientemente este gusano.