|
BLUEECARD, gusano de propagación masiva vía Correo y Kazaa, puede
saturar servidores.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/BluECard@mm,
W32/Cult.B@mm,
W32/Lanet@mm,
I.worm.BlueEcard@mm
BlueECard es
un gusano
reportado el 1o de Abril del 2003, de propagación masiva
a través de mensajes de correo con un archivo anexado de
nombre BlueMountaineCard.pif. También se
difunde vía la popular red Peer to Peer Kazaa.
El archivo infectado es un dropper
(cuentagotas) ya que libera otros virus que se encuentran contenidos en el
mismo.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003
Está desarrollado en Visual C++, con una extensión de
8 KB y comprimido con el utilitario XTPack
La muestra obtenida fue enviada
desde España (+1 GMT)
Posee su propio SMTP (Simple
Mail Transfer Protocol) y se auto-envía a todas las direcciones de
correo de la Libreta de Direcciones de Windows WAB
(Windows Address Book),
a las contenidas en las carpetas temporales de la memoria Cache y a los buzones
del
cTmail,
que es el sistema servicio de envío de correo basado en la web.
Para su envío emplea la técnica denominada Email
spoofing, consistente en encubrir o disfrazar las verdaderas
direcciones de los Remitentes y Destinatarios.
Al ejecutar el archivo anexado, el gusano se
auto-copia a la carpeta %System% como wuauqmr.exe
y crea la la carpeta C:\%System%\jdfghtrg
y se copia a la misma con los siguientes nombres:
- ACDSee 5.5.exe
- Ad-aware 6.5.exe
- Age of Empires 2 crack.exe
- aim cracker.exe steal usernames.exe
- aim password cracker aol cracker.exe
- Animated Screen 7.0b.exe
- Anno 1503_crack.exe
- AOL Instant Messenger.exe
- aol password cracker.exe
- AquaNox2 Crack.exe
- Audiograbber 2.05.exe
- AVP_Crack.exe
- BabeFest 2003 ScreenSaver 1.5.exe
- Babylon 3.50b reg_crack.exe
- Battlefield1942_bloodpatch.exe
- Battlefield1942_keygen.exe
- BitDefender.KeyGen.exe
- Borland KeyGens.exe
- Business Card Designer Plus 7.9.exe
- C&C Generals_crack.exe
- C&C Renegade_crack.exe
- Clone CD 5.0.0.3 (crack).exe
- Clone CD 5.0.0.3.exe
- Coffee Cup Free HTML 7.0b.exe
- Cool Edit Pro v2.55.exe
- Crack McAfee 7.exe
- Crack Norton 3000.exe
- Diablo 2 Crack.exe
- DirectDVD 5.0.exe
- DirectX Buster (all versions).exe
- DirectX InfoTool.exe
- DivX 5.03 Codecs.exe
- divx pro.exe
- DivX Video Bundle 6.5.exe
- Download accelarator.exe
- Download Accelerator Plus 6.1.exe
- driver.exe
- DVD Copy Plus v5.0.exe
- DVD Region-Free 2.3.exe
- FIFA2003 crack.exe
- Final Fantasy VII XP Patch 1.5.exe
- Flash MX crack (trial).exe
- FlashGet 1.5.exe
- FreeRAM XP Pro 1.9.exe
- GetRight 5.0a.exe
- Global DiVX Player 3.0.exe
- Gothic 2 licence.exe
- GTA 3 Crack.exe
- GTA 3 patch (no cd).exe
- GTA 3 Serial.exe
- gta3.exe
- Guitar Chords Library 5.5.exe
- HackNTTools.zip .exe
- Hitman_2_no_cd_crack.exe
- Hot Babes XXX Screen Saver.exe
- hotgirls.exe
- how to hack.exe
- how to use a shell.pif
- ICQ Lite (new).exe
- ICQ Pro 2003a.exe
- ICQ Pro 2003b (new beta).exe
- iMesh 3.6.exe
- iMesh 3.7b (beta).exe
- IrfanView 4.5.exe
- KaZaA Hack 2.5.0.exe
- KaZaA Lite (New).exe
- KaZaA Speedup 3.6.exe
- Links 2003 Golf game (crack).exe
- Living Waterfalls 1.3.exe
- Mafia_crack.exe
- Matrix Screensaver 1.5.src
- MediaPlayer Update.exe
- mIRC 6.40.exe
- MP3 encoder_decoderV1.8.exe
- mp3Trim PRO 2.5.exe
- MSN Messenger 5.2.exe
- NBA2003_crack.exe
- Need 4 Speed crack.exe
- Nero Burning ROM crack.exe
- Netfast 1.8.exe
- Network Cable e ADSL Speed 2.0.5.exe
- Neverwinter_Nights_licence.exe
- NHL 2003 crack.exe
- Nimo CodecPack (new) 8.0.exe
- Nod32Crack.exe
- PaintShop Pro 7 Crack_By_Force.exe
- PalTalk 5.01b.exe
- PANDA.AVers.lusers.exe
- PANDA.lusers.exe
- play station emulator crack.exe
- play station emulator.exe
- Popup Defender 6.5.exe
- Pop-Up Stopper 3.5.exe
- porn.exe
- QuickTime_Pro_Crack.exe
- Serials 2003 v.8.0 Full.exe
- SM.exe
- SmartFTP 2.0.0.exe
- SmartRipper v2.7.exe
- SMS_sender.exe
- SophosCrackAllVersion.exe
- Space Invaders 1978.exe
- Splinter_Cell_Crack.exe
- Steinberg_WaveLab_5_crack.exe
- Trillian 0.85 (free).exe
- TweakAll 3.8.exe
- Unreal2_bloodpatch.exe
- Unreal2_crack.exe
- UT2003_bloodpatch.exe
- UT2003_keygen.exe
- UT2003_no cd (crack).exe
- UT2003_patch.exe
- virtua girl - adriana.pif virtua girl -
bailey short skirt.pif
- Virtua Girl (Full).exe
- warcraft 3 crack.exe 100 free essays
school.pif
- warcraft 3 serials.pif
- WarCraft_3_crack.exe
- Winamp 3.8.exe
- WindowBlinds 4.0.exe
- WinOnCD 4 PE_crack.exe
- WinZip 9.0b.exe
- worldbook.exe
- Yahoo Messenger 6.0.exe
- Zelda Classic 2.00.exe
- ZoneAlarm Pro KeyGen.exe
- zoneallarm_pro_crack.exe
Para ejecutarse la próxima vez que se inicie
el sistema, el gusano crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCpTDaemon" = "%System%\wuauqmr.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCpTDaemon" = "%System%\wuauqmr.exe"
Para infectar a través de Kazaa modifica la llave de
descarga de archivos,
agregándole este valor:
[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0" = "%System%\jdfghtrg"
"DisableSharing " = 0
%System% es
la variable C:\Windows\System para Windows
95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows
XP y Windows Server 2003.
Finalmente el gusano se conecta a una lista de
servidores SMTP, que se encuentran cifrados dentro de su código viral y auto-envía mensajes masivos de correo.
Tanto para las direcciones del Remitente y el Destinatario emplea la
técnica Email Spoofing, que disfraza las verdaderas.
Para el envío de mensajes, el gusano crea direcciones
de correo con las siguientes variables:
Remitente: elegido aleatoriamente de una
lista de 100 nombres encriptados en el código viral:
- Kaylee
- Gammons
- Lighthall
- McRaney
- Peter
- Raker
- Sandra
- Sandy Michel
- Selnes
- Vittorini
- Etc.
Destinatario: nombre aleatorio elegido
de una cadena cifrada de un máximo de 8 caracteres, mas uno de los siguientes dominios:
- hotmail.com
- msn.com
- yahoo.com
- Roadrunner.com
- Earthlink.net
- email.com
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de correo
a través de su propio servidor SMTP a todas las direcciones de
correo de la Libreta de Direcciones de Windows WAB
(Windows Address Book).
-
También se envía a las contenidas en las carpetas temporales de la memoria Cache y a los buzones
del cTmail,
que es el sistema servicio de envío de correo basado en la web.
- Además emplea otros servidores SMTP para el
envío masivo.
- Disfraza las direcciones del Remitente y el
Destinatario bajo la técnica Email Spoofing.
- También se difunde vía la popular red
Kazaa.
- Puede causar una Negación de Servicio por
saturación de los servidores de Correo.
PER ANTIVIRUS®
versión 8.0 con registro de virus al 1o de Abril del 2003 detecta y elimina
eficientemente este gusano.
Nota: existe una diferencia de 6 horas entre
Perú (-5 GMT) y España (+1 GMT)
