Backzat

BACKZAT, gusano destructivo, infecta via Chat, Kazaa y AOL Messenger. Borra carpetas de antivirus, etc.

W32/Backzat, W32/BatzBack, I.worm.BatzBack

Backzat es un gusano destructivo, reportado el 11 de Junio del 2003, de alta propagación masiva a través del IRC (Internet Chat Relay), AOL Instant Messenger (AIM) y la popular red Peer to Peer Kazaa.

El gusano borra las carpetas de algunos antivirus, se propaga en unidades de red con recursos compartidos y los días Domingo sobre-escribe el sector de arranque del sistema, dejándolo inoperativo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 60 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ejecutar el archivo anexado, el gusano se auto-copia a la carpeta %Windir% como BatzBack.scr y para ejecutarse la próxima vez que se inicie el sistema genera esta llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BatzBack" = "%Windows%\BatzBack.scr"

También liberará y copiará el archivo backzat.bat que al ser ejecutado intentará sobre-escribir el sector de arranque del disco duro, dejándolo inoperativo.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Una vez activado, el gusano intentará borrar las carpetas de los siguientes antivirus:

\Progra~1\Norton~1\*.*
\Progra~1\Norton~2\*.*
\Progra~1\PandaS~1\*.*
\Progra~1\McAfee\VirusScan\*.*
\Progra~1\TrendM~1\*.*
\Progra~1\ZoneLa~1\*.*
\Progra~1\Grisoft\\AVG6\*.*
\Progra~1\AntiVi~1\*.*
\Progra~1\QuickH~1\*.*
\Progra~1\FWIN32\*.*
\Progra~1\FindVirus\*.*
\eSafen\*.*
\f-macro\*.*
\TBAVW95\*.*
\VS95\*.*
\AntiVi~1\*.*
\ToolKit\FindVirus\*.*
\PC-Cil~1\*.*

Para infectar a través de Kazaa se copia con el nombre EminEmSpearsBritney.Scr en las carpetas compartidas de dicho programa.

Para difundirse por el IRC (Internet Chat Relay) el gusano ubica la carpeta del software mIRC rastreando en su registro y si la encuentra, sobre-escribe el SCRIPT.INI con su código viral el cual contiene instrucciones para auto-enviarse a todos los usuarios que se encuentren conectados en una misma sesión de Chat.

Para infectar vía AOL Instant Messenger el gusano se auto-copiará a su carpeta de Instalación con el nombre de archivo BuddyShare.exe en la siguiente ruta:

\Program Files\AIM95\BuddyShare.exe

También se copiará a las carpetas de las unidades de Red con recursos compartidos, empezando con la letra G: y terminando con la Z:

Sus payloads son los siguientes:

Al activarse el gusano borra las carpetas de algunos antivirus, dejando al sistema totalmente vulnerable a los virus informáticos.
Se propaga masivamente a través del IRC (Internet Chat Relay) para lo cual sobre-escribe el SCRIPT.INI del software mIRC e infecta a los usuarios de una misma sesión de Chat, con un efecto multiplicador.
Se propaga a través de la red Peer to Peer Kazaa.
Del mismo modo lo hace vía el AOL Instant Messenger.
Infecta las unidades de Red con recursos compartidos desde la G: hasta la Z:
Los días Domingo sobre-escribe el sector de arranque del sistema, dejándolo inoperativo.

PER ANTIVIRUS® versión 8.1 con registro de virus al 11 de Junio del 2003 detecta y elimina eficientemente este gusano.