Anjulie

ANJULIE, gusano de propagación masiva vía E-mail y canales de Chat.

VBS_Anjulie, W32/Anjulie@mm

Anjulie es un gusano reportado el 18 de Mayo del 2002 de alta propagación masiva en Internet a través de mensajes de correo electrónico y vía el software de Chat mIRC.

El gusano se propaga en mensajes de correo con un archivo anexado de nombre setup.vbe, con una extensión de 4.4 KB. Está desarrollado en Visual Basic y es un perfecto PE (Portable Ejecutable) que infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

A pesar que la técnica de propagación de este gusano, no es nueva, su particularidad consiste en que incluye un archivo con nueva extensión .VBE posiblemente no considerada, hasta ahora, en muchos software antivirus.

Si el usuario ejecuta el archivo setup.vbe, el gusano se auto-copia en el %system% y al archivo MIRC32.DAT en la carpeta del mIRC.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), el gusano se auto-envía a todos los buzones de correo de la Libreta de direcciones de MS Outlook.

Con el propósito de propagarse a través del canal del Chat, inmediatamente modifica el registro de virus para activarse la próxima vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Mirc32 = "wscript.exe %System%\setup.vbe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

El gusano busca en los servidores, estaciones de trabajo o PC individuales si el software mIRC se encuentra instalado y si lo encuentra, crea los archivos MICRC32.INI y MIRC32.DAT, los mismos que se ejecutan antes del SCRIPT.INI y contienen instrucciones para auto-enviar copias del archivo infectado a todos los usuarios que se encuentren conectados en una misma sesión de Chat del sistema infectado.

Esta infección tendrá un efecto multiplicador, la próxima vez que cualquier usuario con su sistema ya infectado se conecte a una nueva sesión.

Los archivos que afectan al SCRIPT.INI y cualquiera de los programas basados en los canales del IRC (Internet Chat Relay), pueden contener comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este Script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:

Re-direccionar todos los mensajes enviados por el usuario, en forma abierta o privada a otro canal.
Interrumpir la sesión de IRC cuando otra persona ejecute un comando determinado.
Permitir el acceso total al sistema del usuario afectado, a través de algún tipo de aplicación como el fserve, al enviar remotamente cualquier comando predefinido.
Bloquear o alterar mensajes procedentes del o de los sistemas infectados.
Enviarse en forma automática a otros usuarios.
Etc.

PER ANTIVIRUS® versión 7.5 con registro de virus al 18 de Mayo del 2002 detecta y elimina eficientemente este gusano.