Bandera.B

BANDERA.B, intenta deshabilitar McAfee, AVP y PER Antivirus, borra todos los archivos del directorio raíz.

W32/Bandera.B@MM, W32/Argen.A@MM

Bandera.B es un gusano reportado el 07 de Julio del 2002 que se propaga masivamente en mensajes de correo con asuntos, archivos anexados y cuerpos del mensaje aleatorios. Se auto-envía a los buzones de correo de la libreta de direcciones de MS Outlook y Outlook Express por medio de un Visual Basic Script contenido en su código.

Su autor, es un joven chileno de 23 años autodenominado ErGrone y es creador de especies virales tales como Kitro, Daduni y Bandera, los cuales difunde desde diversos lugares públicos en Santiago de Chile. ErGrone es un reciente miembro del grupo establecido en geocities.com/zonavirus:

http://www.geocities.com/zonavirus/colaborar.html#ErGrone (este sitio ha sido desactivado).

El gusano es un PE (Portable Ejecutable) con un promedio de 160 KB, e infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Está desarrollado en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de varios Antivirus:

http://upx.sourceforge.net

Tanto los asuntos como los archivos anexados y su contenido son elegidos en forma aleatoria de nombres o frases contenidas dentro del código del gusano.

Remitente, cualquier dirección de correo capturado del sistema infectado.

Mensaje # 1

Asunto: Te han enviado una postal.

Archivo adjunto: PostalDeAmistad.pif

Mensaje # 2

Asunto: Leelo y reenvialo a quienes aprecias

Contenido:

Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad

Archivo adjunto: Cristo_Nos_Enseña.Doc.pif

Mensaje # 3

Asunto: Listado de falsas alarmas.

Contenido:

Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.

Archivo adjunto: Listado.txt.by.Microsoft.com

Mensaje # 4

Asunto: This is a last hoax list.

Contenido:

I send the list of false alarms, so that you do not make case to the lies bye.

Archivo adjunto: List.txt.by.Microsoft.com

Mensaje # 5

Asunto o título del mensaje: Para los amigos

Contenido:

Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.

Archivo adjunto: Facturas556.XLS.pif

Mensaje # 6

Asunto: Fw: Enviame tu foto.

Contenido:

bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje.

Archivo adjunto: EnLosAndes.pif

Mensaje # 7

Asunto: Es posible que nos roben la identidad.

Contenido:

lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.

Archivo adjunto: YaNoPuedoSerYoMismo.DOC.pif

Mensaje # 8

Asunto: Messenger vulnerable

Contenido:

si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.

Archivo adjunto: ReparacionDeMessenger.DOC.pif

Mensaje # 9

Asunto: 77:Test de amor.

Contenido:

Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.

Archivo adjunto: TestDeAmoryAmistad.DOC.pif

Ejemplo de mensaje:

Al hacer click en el archivo infectado, el gusano se auto-copia al directorio raíz C:\ bajo los siguientes nombres:

C:\AUTOEXEC.BAK .EXE
C:\MSDOS.TIL .EXE
C:\ .EXE
C:\HackTools.EXE
C:\COMMAND.COM .EXE
C:\MSDOS.SYS .EXE
C:\CONFIG.SYS .EXE
C:\AUTOEXEC.BAT .EXE
C:\IO.SYS .EXE
C:\CONFIG.JPS .EXE
C:\CONFIG.BAK .EXE
C:\SCANDISK.LOG .EXE
C:\MSDOS.NAM .EXE
C:\COMPATID.TXT .EXE
C:\AVP40CRACK.EXE
C:\ResidentEvil-Crack.EXE
C:\AVP-SpanishPatch.EXE
C:\PandaAllCracks.EXE
C:\SexoenlaCalle-Video.EX
C:\Sexo-Asiatico-FullVideo.EXE
C:\MessengerSkins29.EXE
C:\MP3EncoderDecoder58.EXE
C:\GameCube-FreeEmulator.EXE
C:\PSX2-Emulator.EXE
C:\X-Box_Emulator.EXE
C:\PSXEmulator_Full.EXE
C:\CounterStrikeMoreServers.EXE
C:\Jedi2-FullCrack.EXE
C:\W98ToXpActualization.EXE
C:\GamesPSX2Emulator.EXE
C:\CopyPSXgamesV12.EXE
%windir%\XP-Serials.EXE
%windir%\PostalDeAmistad.PIF
%windir%\Cristo_Nos_Enseña.Doc.PIF
%windir%\Listado.txt.by.Microsoft.COM
%windir%\List.txt.by.Microsoft.COM
%windir%\Facturas556.XLS.PIF
%windir%\EnLosAndes.PIF
%windir%\YaNoPuedoSerYoMismo.DOC.PIF
%windir%\ReparacionDeMessenger.DOC.PIF
%windir%\TestDeAmoryAmistad.DOC.PIF
%windir%\APPLOG\BITES.LGC
%windir%\Recent\1.EXE.LNK
%windir%\Recent\_VIRUS (2).LNK

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Asimismo copia los siguientes archivos al directorio de Windows:

Cristo_Nos_Enseña.Doc.pif
EnLosAndes.pif
Facturas556.XLS.pif
List.txt.by.Microsoft.com
Listado.txt.by.Microsoft.com
PostalDeAmistad.pif
ReparacionDeMessenger.DOC.pif
TestDeAmoryAmistad.DOC.pif
YaNoPuedoSerYoMismo.DOC.pif

Luego modifica las siguientes llaves del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
KAZAACuF = “9”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
PAV.EXE = “%Number%”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Zonavirus = “0”

[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles]
Folder = "%Number%"

%Number% es el nombre de cualquiera de los archivos infectados con las copias del gusano.

Para ejecutarse la próxima vez que se inicie el sistema agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Bnexe = %nombre_de_archivo%

Después de infectar un sistema, intenta deshabilitar 3 antivirus: McAfee, AVP y PER Antivirus, en cuyo último caso en particular, una vez más no ha logrado su objetivo, toda vez que su estructura de programación y codificación la tenemos totalmente controlada desde su primera versión.

También se propaga a través de la popular red compartida Kazza mediante la cual se descargan videos, archivos MP3, fotografías, etc., y de lograrlo, el gusano se auto-copia a esta red con varios nombres de archivos y que son copias del gusano, los cuales estarán disponibles para ser descargados por otros usuarios de esta red, logrando infectar sus sistemas.

Para evadir la detección y eliminación de algunos antivirus, el gusano manipula archivos de datos e información del registro al cual modifica:

[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles\Folder]

y apuntando al directorio de Windows altera la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = PAV.EXE C:\%windir%

con el propósito de prevenir que PER ANTIVIRUS® sea ejecutado al inicio del sistema. Adicionalmente intenta borrar, infructuosamente, los siguientes archivos correspondientes a nuestro software:

C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll

así como también intenta borrar los siguientes archivos de la carpeta de Windows:

PAV.EXE
\bases\avp.set
\system\vshield.vxd
\system32\vshield.vxd
\vshield.vxd

Su payload destructivo consiste en borrar todos los archivos del directorio raíz de C:\ y de lograr este propósito dejará inutilizable el sistema operativo.

La próxima vez que se re-inicie el sistema no podrá ser ejecutado. Dentro de su código viral se puede leer esta cadena, no visible para los usuarios:

Componente para Facilitar La programacion de Gusanos.
Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus
VIVA SUDAMERICA!!! Http://www.geocities.com/XXXXXX

PER ANTIVIRUS® versión 7.5 con registro de virus al 02 de Julio del 2002, detecta y elimina eficientemente este gusano.