Brizol

BRIZOL, gusano de correo usa propio SMTP, desconfigura Internet Explorer descarga archivo plugin no certificado.

W32/Brizol@mm

Brizol es un gusano de correo residente en memoria reportado el 27 de Agosto del 2007 de propagación masiva, con Remitente falso y contenido en idioma italiano, que contiene un enlace de descarga.

Asimismo se conecta a un sitio web desde donde intenta descargar un plugin de video, no certificado por Microsoft.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 68KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) las cuales son alteradas usando la técnica Spoofing.

El mensaje tiene las siguientes características:

Remitente, direciones falsas usando la técnica Spoofing.

Asunto: Re:Ho sbagliato email

Contenido:

Ciao Amore,

le foto sono semplicemente imbarazzanti ma tu sei cos bella che non si pu resistere, spero che non ti arrabi che ti ho fotografata mentre le facevamo :) Se vuoi capire di cosa si tratta guarda in allegato o scarica lo zip da http://www.mail.com/download/amore.zip

Al hacer click en el enlace, el archivo infectado se desempaqueta en memoria y copia a las siguientes rutas con los nombres de archivos:

%Desktop%\FOTO PERSONALI.LNK
%Start Menu%\FOTO PERSONALI.LNK
%System%\scansvc\trust\fotoamodomenica.exe
C:\FOTOAMORE.ZIP

para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fotoamodomenica.exe" = "%System%\scansvc\trust\fotoamodomenica.exe"

Crea además la siguiente llave:

[HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}]

para alterar la configuración de acceso y navegación a Internet genera las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
Internet Settings\ZoneMap\Domains\foto-personali.name

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
Internet Settings\ZoneMap\Domains\katasearch.com

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
Internet Settings\ZoneMap\Domains\tuttoavolonta.com

para cambiar la página de Inicio configurada por defecto del Internet Explorer modifica la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www.katasearch.com"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente inicio del equipo, el gusano inicia su rutina de envio masivo de mensajes de correo.

Luego se conecta a:

http://www.katasearch.com

desde donde intenta descargar un "Video Plugin para Internet Explorer", no certificado por Microsoft:

PER ANTIVIRUS® versión 10.2 con registro de virus al 27 de Agosto del 2007 detecta y elimina eficientemente este gusano.