Cali

CALI gusano de alta propagación masiva, ocasiona ataques DoS y satura servicios de Internet.

W32/Cali@mm, I.worm.cali@mm

Cali es un gusano residente en memoria, reportado el 11 de Agosto del 2004, de alta propagación masiva a través de mensajes de correo con archivos Anexados de atractivos nombres aleatorios.

El archivo está compilado con una parámetro Visual C++.NET que facilita el desbordamiento de buffers y consiguientes Negaciones de Servicio.

Ocasiona ataques DoS a varios dominios y satura conexiones a Internet.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, desarrollado en MS Visual C++, compilado con el parámetro /GS habilitado (*).

Tiene 50 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Y el encriptador Yoda:

http://protools.anticrack.de/packers.htm

(*) El parámetro /GS del compilador del Visual C++.NET al ser hablitado facilita la explotación de vulnerabilidades de desbordamiento de buffers, los mismos que ocasionan Negaciones de Servicio o ataques DoS.

Aunque este gusano no es maligno su estilo de compilación y el doble encriptamiento pueden servir para que otros codificadores de virus desarrollen especies virales dañinas, aprovechando esta nueva técnica.

Usa su propio motor SMTP (Simple Mail Transfer Protocol) y manipula las funciones de las librerías MAPI (Messaging Application Programming Interface) para enviarse a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).

El mensaje tiene las siguientes características:

Asunto: (en blanco)
Contenido: (en blanco)
Anexado, uno de los siguientes:

office.exe
notes.exe
doom3demo.exe
resume.exe
files.exe
request.exe
info.exe
details.exe
result.exe
results.exe
install.exe
setup.exe
test.exe
google.exe
se_files.exe

Al ser ejecutado el archivo crea el siguiente Mutex para evitar activarse en memoria más de una vez:

4D36E64A-W325-121E-BFC1-080C2BE11318

Y se auto-copia al directorio %System% con el nombre de Services.exe y para ejecutarse la próxima vez que se re-inicie el sistema, el gusano agrega una de las siguientes claves al registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

BuildLab
RegDone
ccApps
Microsoft Visual SourceSafe
TEXTCONV
FriendlyTypeName
.Prog
WMAudio

Por ejemplo:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BuildLab" = "%System%\services.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado en memoria se registra como un proceso de servicios para evitar ser visualizado en la lista de tareas de Windows 95/98/Me.

El gusano contiene instrucciones para evitar auto-enviarse a las direcciones contenidas en los archivos con las siguientes extensiones:

Así como también omite las direcciones de correo con las siguientes cadenas:

kaspers
microso
.mil
.gov
gnu.
freebsd
openbsd
@mcaf
norton
symant

Las direcciones de correo extraídas son almacendas en el archivo setup32ea.bak creado por el gusano en la carpeta %System%.

Después de ejecutar su rutina de auto-envío masivo, intenta acceder al dominio http://www.google.com, para comprobar si el sistema infectado está conectado a Internet y si lo ratifica procede a reealizar un ataque de Negación de Servicio (DoS) en contra de los siguientes dominios:

http://www.hvr-systems.cc
http://www.real-creative.de
http://www.2rebrand.com
http://www.designload.com
http://www.designgalaxy.net
http://www.procartoonz.com
http://www.designload

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con archivos anexados de atractivos nombres aleatorios.
Usa su propio servidor SMTP y se auto-envía manipulando las funciones MAPI.
Evita enviarse a buzones de correo de archivos con determinadas extensiones.
También omite direcciones que contienen ciertas cadenas.
Ocasiona un ataque de Negación de Servicios (DoS) a determinados sitios en la web.
Finalmente genera saturaciones en los servidores de correo y las conexiones a Internet.

PER ANTIVIRUS® versión 8.8 con registro de virus al 11 de Agosto del 2004 detecta y elimina eficientemente este gusano.