Cailont.B

CAILONT.B, gusano de alta propagación masiva vía Correo y HTTP, deshabilita antivirus, satura servidores.

W32/Cailont.B@mm, VBS/Cailont.B@mm, I.worm.Cailont.B@mm

Cailont.B es un gusano reportado el 27 de Junio del 2003, de propagación masiva, a través de mensajes de correo con un archivo anexado, de nombre variable, con 3 caracteres y las extensiones KISS.OK.EXE o .HTM. También se difunde vía HTTP. Termina los procesos de algunos antivirus.

Parecería ser una variante del gusano Lovelorn.B por sus similares características básicas, aunque posee algunas significativas diferencias.

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP/Server 2003, incluyendo los servidores NT/2000/Server 2003

Posee su propio SMTP (Simple Mail Transfer Protocol) para enviarse a todos las direcciones de correo contenidos en el sistema, incluyendo MS Outlook, Outlook Express, la Libreta Global de Windows WAB (Windows Address Book), incluyendo el cTmail, correo basado en la web, archivos .EML, .DBX, .HT*.*, etc.

Los formatos de mensajes son los siguientes:

Formato 1
Asunto: Re:baby!your friend send this file to you !'
Contenido: Read this file

Formato 2
Asunto: HELP??-
Contenido: Help...

Formato 3
Asunto: Re:Get Password mail...
Contenido: Enjoy

Formato 4
Asunto: Re:Get Password mail...
Contenido: Read File attach .

Formato 5
Asunto: Re:Binladen_Sexy.jpg
Contenido: run File Attach to extract:BinladenSexy.jpg...

Formato 6
Asunto: The Sexy story and 4 sexy picture of BINLADEN !
Contenido: Enjoy! BINLADEN:SEXY..

Formato 7
Asunto: Re:I Love You...OKE!
Contenido: Souvenir for you from file attach...

Formato 8
Asunto: A Greeting-card for you .
Contenido: See the Greeting-card .

Formato 9
Asunto: A Greeting-card for you .
Contenido: See the Greeting-card .

Formato 10
Asunto: Re:Kiss you..^@^
Contenido: Read file attach

Formato 11
Asunto: Guide to fuck ...
Contenido: I like Sexy with you.

Formato 12
Asunto: Re:Baby! 2000USD,Win this game...
Contenido: Play the game from file attach

Formato 13
Asunto: Help
Contenido: Help.

Anexado, puede ser uno de los siguientes:

xyz.KISS.OK.EXE
xyz.htm

Nota: el valor xyz de 3 caracteres alfabéticos, varía en forma aleatoria en los mensajes.

Al ejecutar el archivo anexado, el gusano se auto-copia a las carpetas %System% con los siguientes nombres:

explorer.exe (copia del gusano)
kernel32.exe (copia del gusano)
netdll.dll (copia del gusano)
serscg.dll (copia del gusano)
setup.htm (archivo que contienen un Visual Basic Script generado por el gusano)
Netsn.dll (copia del archivo Explorer.exe y archivos Script, codificado en formato Base64)
Bsbk.dll (copia del archivo Setup.htm y archivos Script, codificado en formato Base64)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"explorer" = "%System%\explorer.exe"

Una vez activado el gusano termina la ejecución de los software antivirus que tengas las cadenas:

BKAV
NAVA
VIRUS

Luego captura las direcciones de correo de todo el sistema infectado e inicia su proceso de auto-envío masivo, eligiendo las 2 alternativas de archivo anexado, precedidas por los 3 caracteres aleatorios.

Sus payloads son los siguientes:

De alta propagación masivamente en mensajes de correo, haciendo uso de absolutamente todas las direcciones de correo que encuentre en los sistemas infectados.
Tiene dos opciones de archivos anexados, precedidos por 3 caracteres aleatorios.
Puede infectar visitando páginas web infectadas con el gusano.
Termina los procesos de algunos antivirus.
Intenta saturar Servidores de Correo.

PER ANTIVIRUS® versión 8.1 con registro de virus al 27 de Junio del 2003 detecta y elimina eficientemente este gusano.