|
BARDIEL, destructivo gusano de redes P2P ICQ Redes compartidas, deshabilita
antivirus, borra archivos, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
Win32/Bardiel@mm, Worm/ElBardie,
I-worm.Bardie
Bardiel es
un gusano extremadamente infeccioso y destructivo, reportado el 13 de Agosto del
2003 de alta propagación
masiva
a través de la mayoría de redes Peer
to Peer, MSN Messenger y el ICQ.
Este gusano deshabilita el REGEDIT y al siguiente re-inicio lo borra, conjuntamente con otras importantes herramientas del sistema, para después infectar archivos de múltiples extensiones,
tales como documentos de MS Word, Excel, Scripts, etc. y que pueden extenderse a Redes con recursos compartidos.
Es un PE (Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual Basic 6.0 y requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecte.
Tiene una extensión de 108 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Ha sido creado en Perú por
MachineDramon, miembro del grupo internacional de creadores de virus
GEDZAC 2003.
Al ejecutar el archivo infectado, el gusano muestra la siguiente caja de dialogo:
Luego se auto-copia a la carpeta
%System% con nombres de archivos compuestos por 7 caracteres aleatorios y las siguientes
extensiones:
Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MicroLoad" = "%System%\[7_caracteres_aleatorios.scr]"
También agrega una línea de comando al final del archivo
AUTOEXEC.BAT:
@win\%System%\[7_caracteres_aleatorios.com]
En Windows Windows 95/98/Me, el gusano modifica los archivos WIN.INI y SYSTEM.INI en
:
WIN.INI
[windows]
run=%System%\[7_ caracteres_aleatorios.scr]
SYSTEM.INI
[windows]
shell=Explorer.exe %System%\[7_ caracteres_aleatorios.pif]
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Luego crea la siguiente llave en el registro del sistema, que indica que el equipo ya se encuentra infectado:
[HKEY_LOCAL_MACHINE\Software\GEDZAC LABS]
Una vez activado, el gusano terminará los procesos de los siguientes antivirus, firewalls,
software de control y archivos asociados que se encuentren instalados en el sistema infectado:
-
_AVP32.exe
-
_AVPCC.exe
-
_AVPM.exe
-
ADVXDWIN.exe
-
AGENTW.EXE
-
ALERTSVC.exe
-
ALOGSERV.exe
-
AMON9X.exe
-
ANTI-TROJAN
-
ANTS.exe
-
APVXDWIN.exe
-
ATCON.exe
-
ATUPDATER.exe
-
ATWATCH.exe
-
AUTODOWN.exe
-
AVCONSOL.exe
-
AVGCC32.exe
-
AVGCTRL.exe
-
AVGSERV.exe
-
AVGSERV9.exe
-
AVGW.exe
-
AVKPOP.exe
-
AVKSERV.exe
-
AVKSERVICE.exe
-
AVKWCTL9
-
AVP32.exe
-
AVPCC.exe
-
AVPM.exe
-
AVPM.EXE
-
AVSCHED32.exe
-
AVSYNMGR.exe
-
PAV.EXE
-
AVWINNT.EXE
-
AVXMONITOR9X
-
AVXMONITORNT
-
AVXQUAR.exe
-
AVXQUAR.EXE
-
AVXW.exe
-
BLACKD.exe
-
BLACKICE.exe
-
CCAPP.EXE
-
CCEVTMGR.EXE
-
CCPXYSVC.EXE
-
ETRUSTCIPE.EXE
-
EVPN.EXE
-
EXPERT.exe
-
F-AGNT95.exe
-
FAMEH32.exe
- F-PROT.exe
-
F-PROT95.exe
-
FP-WIN.exe
-
FRW ERV.exe
-
IOMON98.exe
-
NAV AUTO-PRO
-
NAVAP.EXE
-
NAVAPSVC.EXE
-
Navapw32.exe
-
NAVENGNAV.EXE
-
NAVLU32.EXE
-
NAVW32.EXE
-
NAVWNT.EXE
-
NDD32.EXE
-
NPSSVC.EXE
-
NSCHED32.EXE
-
PCCIOMON.EXE
-
PCCNTMON.EXE
-
PCCWIN97.EXE
-
PCCWIN98.EXE
-
PCSCAN.EXE
-
PERSFW.EXE
-
PERSWF.EXE
-
POP3TRAP.EXE
-
RAV7.EXE
-
VPC32.EXE
-
VPTRAY.EXE
-
VSCHED.EXE
-
AVCONSOL.EXE
-
VSECOMR.EXE
-
VSHWIN32.EXE
-
VSMAIN.EXE
-
VSMON.EXE
-
VSSTAT.EXE
-
ZONEALARM.EXE
-
ICLOAD95.EXE
-
ICMON.EXE
-
ICSUPP95.EXE
-
ICLOADNT.EXE
-
ICSUPPNT.EXE
-
IFACE.EXE
-
Regedit.EXE
-
Regedit.com
-
msconfig.EXE
-
sfc.EXE
-
sysedit.EXE
-
regedt32.EXE
-
NSPCLEAN.exe
-
taskmgr.exe
-
CCAPP.EXE
Para vulnerar los sistemas, el gusano modifica diversas llaves en el registro del
sistema. Para deshabilitar el uso de cualquiera de las Herramientas del Registro de
Windows modifica:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"
= dword:00000001
Para que poder ejecutar archivos de extensión .VBS y .JS sin mensaje de confirmación:
[HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout" = dword:00000000
Para que se ejecuten los documentos de Word Y Excel, con macros sin mensaje de confirmación:
[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Excel\Security]
"Level" = dword:00000001
"AccessVBOM" = dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Excel\Security]
"Level" = dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security]
"Level" = dword:00000001
"AccessVBOM" = dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security]
"Level"=dword:00000001
Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas:
-
\KaZaA\My Shared Folder
-
\edonkey2000\incoming
-
\gnucleus\downloads
-
\icq\shared files
-
\kazaa lite\my shared folders\v
-
\limewire\shared
-
\morpheus\my shared folder
-
\Grokster\My Grokster
Con los siguientes nombres:
-
Ana Kournikova Sex Video.exe
- AVP Antivirus Pro Key Crack.exe
-
Britney Spears Sex Video.exe
-
Buffy Vampire Slayer Movie.exe
-
Crack Passwords Mail.exe
-
Cristina Aguilera Sex Video.exe
-
Game Cube Real Emulator.exe
-
Hentai Anime Girls Movie.exe
-
delphi.exe
-
Jenifer Lopez Sex Video.exe
-
Matrix Movie.exe
-
Mcafee Antivirus Scan Crack.exe
-
Norton Anvirus Key Crack.exe
-
Panda Antivirus Titanium Crack.exe
-
PS2 PlayStation Simulator.exe
-
Quick Time Key Crack.exe
-
divx pro.exe
-
Sakura Card Captor Movie.exe
-
Sex Live Simulator.exe
-
Sex Passwords.exe
-
Spiderman Movie.exe
-
Start Wars Trilogy Movies.exe
-
Thalia Sex Video.exe
-
Winzip KeyGenerator Crack.exe
-
aol cracker.exe
-
aol password cracker.exe
-
GTA 3 Crack.exe
-
GTA 3 Serial.exe
-
play station emulator.exe
-
virtua girl - adriana.exe
-
virtua girl - bailey short skirt.exe
-
Virtua Girl (Full).exe
-
warcraft 3 crack.exe
-
warcraft 3 serials.exe
-
counter-strike.exe
-
divx_pro.exe
-
HotGirls.exe
-
hotmail_hack.exe
-
pamela_anderson.exe
-
serials2000.exe
-
subseven.exe
-
VirtualSex.exe
-
ACDSee 5.5.exe
-
Age of Empires 2 crack.exe
-
Animated Screen 7.0b.exe
-
AOL Instant Messenger.exe
-
AquaNox2 Crack.exe
-
Audiograbber 2.05.exe
-
BabeFest 2003 ScreenSaver 1.5.exe
-
Babylon 3.50b reg_crack.exe
-
Battlefield1942_bloodpatch.exe
-
Battlefield1942_keygen.exe
-
DirectX InfoTool.exe
-
Business Card Designer Plus 7.9.exe
-
Clone CD 5.0.0.3 (crack).exe
-
Clone CD 5.0.0.3.exe
-
Coffee Cup Free exe 7.0b.exe
-
Cool Edit Pro v2.55.exe
-
Diablo 2 Crack.exe
-
DirectDVD 5.0.exe
-
DirectX Buster (all versions).exe
-
DivX Video Bundle 6.5.exe
-
Download Accelerator Plus 6.1.exe
-
DVD Copy Plus v5.0.exe
-
DVD Region-Free 2.3.exe
-
FIFA2003 crack.exe
-
Final Fantasy VII XP Patch 1.5.exe
-
Flash MX crack (trial).exe
-
FlashGet 1.5.exe
-
FreeRAM XP Pro 1.9.exe
-
GetRight 5.0a.exe
-
Global DiVX Player 3.0.exe
-
Gothic2 licence.exe
-
Guitar Chords Library 5.5.exe
-
Hitman_2_no_cd_crack.exe
-
Hot Babes XXX Screen Saver.exe
-
ICQ Pro 2003a.exe
-
SmartRipper v2.7.exe
-
ICQ Pro 2003b (new beta).exe
-
iMesh 3.6.exe
-
iMesh 3.7b (beta).exe
-
IrfanView 4.5.exe
-
KaZaA Hack 2.5.0.exe
-
KaZaA Speedup 3.6.exe
-
Links 2003 Golf game (crack).exe
-
Living Waterfalls 1.3.exe
-
Mafia_crack.exe
-
Matrix Screensaver 1.5.exe
-
MediaPlayer Update.exe
-
mIRC 6.40.exe
-
mp3Trim PRO 2.5.exe
-
MSN Messenger 5.2.exe
-
NBA2003_crack.exe
-
Need 4 Speed crack.exe
-
Nero Burning ROM crack.exe
-
Netfast 1.8.exe
-
SmartFTP 2.0.0.exe
-
Network Cable e ADSL Speed 2.0.5.exe
-
NHL 2003 crack.exe
-
Nimo CodecPack (new) 8.0.exe
-
PalTalk 5.01b.exe
-
Popup Defender 6.5.exe
-
Pop-Up Stopper 3.5.exe
-
QuickTime_Pro_Crack.exe
-
Serials 2003 v.8.0 Full.exe
-
wnudo>?)nin
-
Space Invaders 1978.exe
-
Splinter_Cell_Crack.exe
-
Steinberg_WaveLab_5_crack.exe
-
Trillian 0.85 (free).exe
-
TweakAll 3.8.exe
-
Unreal2_bloodpatch.exe
-
Unreal2_crack.exe
-
UT2003_bloodpatch.exe
-
UT2003_keygen.exe
-
wnudo45)nin
-
UT2003_no cd (crack).exe
-
UT2003_patch.exe
-
WarCraft_3_crack.exe
-
Winamp 3.8.exe
-
WindowBlinds 4.0.exe
-
WinOnCD 4 PE_crack.exe
-
WinZip 9.0b.exe
-
Yahoo Messenger 6.0.exe
-
Zelda Classic 2.00.exe
-
Windows XP complete + serial.exe
-
Screen saver christina aguilera.exe
-
Screen saver christina aguilera naked.exe
-
Visual basic 6.exe
-
Starcraft serial.exe
-
Credit Card Numbers generator(incl Visa,MasterCard,...).exe
-
Edonkey2000-Speed me up scotty.exe
-
Hotmail Hacker 2003-Xss Exploit.exe
-
Kazaa SDK + Xbit speedUp for 2.xx.exe
-
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
-
Netbios Nuker 2003.exe
-
Security-2003-Update.exe
-
Stripping MP3 dancer+crack.exe
-
Visual Basic 6.0 Msdn Plugin.exe
-
Windows Xp Exploit.exe
-
WinRar 3.xx Password Cracker.exe
-
WinZipped Visual C++ Tutorial.exe
-
XNuker 2003 2.93b.exe
-
cable modem ultility pack.exe
-
macromedia dreamweaver key generator.exe
-
winamp plugin pack.exe
-
winzip full version key generator.exe
La próxima vez que nuevamente se reinicie el sistema, el gusano mostrará la siguiente caja de dialogo:
Sus payloads
son los siguientes:
- Se propaga masivamente a través de la mayoría de redes P2P, el
ICQ y redes con recursos compartidos.
- Termina los procesos de
antivirus, firewalls, software de control y seguridad, dejando a los sistemas infectados vulnerables
a los virus y a ataques de intrusos.
-
Deshabilita la seguridad e infecta documentos en Microsoft Word y Excel.
- Se propaga a través de
unidades de Red con recursos compartidos.
-
Deshabilita el REGEDIT.EXE (Editor del registro de Windows) y luego lo
borra.
- Borra archivos de diversas extensiones.
- Deja inutilizable al sistema.
- Se deberá re-instalar Windows.
PER ANTIVIRUS®
versión 8.2 con registro de virus al 13 de Agosto del 2003
detecta y elimina
eficientemente este gusano.
