CAPSIDE.B, gusano de Correo y redes Peer to Peer, infecta todos los archivos con extensión
HTML. |
|
© Jorge
Machado Lima-Perú |
|
W32/Capside.B,
W32.Caspid.B@mm, I.worm.Caspid.B@mm
 |
|
Capside.B es un gusano reportado el 24
de Febrero del 2003, de alta propagación masiva a través de mensajes de
Correo y de la mayoría de Redes con archivos
compartidos Peer to
Peer. Infecta todos
los archivos con extensión HTML de
las carpetas y sub-carpetas del sistema a los cuales inserta su código
viral. Ha sido desarrollado por MachineDramon,
miembro del grupo internacional de
autores de virus GEDZAC GrOuP. |
El gusano aprovecha unas
vulnerabilidades que afectan a Microsoft Outlook Express 5.5 y 6.0 e Internet Explorer 5.01,
5.5 y 6.0.
Se propaga vía mensajes de Correo con una
copia de sí mismo codificada en formato MIME (Multipurpose
Internet Mail Extension) con el nombre de CAPBPlan.htm,
la misma que configura como defecto en MS Outlook
Express y como consecuencia, el gusano se insertará dentro de todos los
mensajes enviados bajo formato HTML.
Para este propósito modifica la siguiente llave de registro:
HKEY_CURRENT_USER\Identities\
{9142B860-0DF0-11D7-84AB-9D94A5554662}\
Software\Microsoft\Outlook Express\5.0\Mail
para obtener la siguiente entrada:
Wide Stationery Name = "%Windows%\CapBPlan.htm"
Stationery Name = "%Windows%\CapBPlan.htm"
El gusano infecta los archivos con extensión
.HTML en las carpetas y sub-carpetas de los sistemas
infectados, insertando su código en formato
MIME y encriptando el contenido
original de los archivos infectados.
Es un
PE (Portable Ejecutable) e infecta
Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003,
está programado en Visual Basic, con una extensión de 34 KB y comprimido con el
utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Al ejecutar el archivo infectado, el gusano muestra la siguiente caja de diálogo:
Luego se copia al directorio %Windir%
con los siguientes nombres:
- Edispac.exe
- Capgedzac.pif
- CapCodB.htm
- CapBPlan.htm
Los dos últimos archivos son
copias codificadas MIME en
formato HTML.
Simultáneamente copia a la
carpeta
%System%
un archivo de nombre aleatorio con la extensión .SCR
y en los sistemas operativos Windows 95/98/Me libera la
siguiente copia en la ruta:
\Archivos_de_Programa\Microsoft Shared\Stationery\CapBPlan.htm
Para ejecutarse la próxima vez que se inicie el sistema
crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinregB" = "%System%\nombre_aleatorio.scr"
En Windows NT/2000/XP crea además esta llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon]
"Shell" =
"Explorer.exe %Windir%\edispaC.exe"
El gusano modifica el archivo WIN.INI
para activarse al reiniciarse en Windows 95/98/Me:
WIN.INI
[windows]
Run =
%Windows%\CapGEDZAC.pif
Igualmente
lo hace con el SYSTEM.INI:
SYSTEM.INI
[windows]
shell=explorer.exe %Windows%\edispaC.exe
Capside.B
agrega adicionalmente las siguientes llaves de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Office\10.0\Common\MailSettings
NewStationery = "Capside"
HKEY_CURRENT_USER\Software\Microsoft\
Windows Messaging Subsystem\Profiles\
0a0d020000000000c000000000000046001e0360 = "Capside"
HKEY_CURRENT_USER\Software\Microsoft\
Windows Messaging Subsystem\Profiles\
Microsoft Outlook Internet Settings\
0a0d020000000000c000000000000046001e0360 = "Capside"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows Messaging Subsystem\Profiles\
0a0d020000000000c000000000000046001e0360 = "Capside"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows Messaging Subsystem\
Profiles\Microsoft Outlook Internet Settings\
0a0d020000000000c000000000000046001e0360 = "Capside"
HKEY_CURRENT_USER\Software\Microsoft\
Office\10.0\Common\MailSettings
NewStationery = "Capside"
Los parches para las vulnerabilidades de Microsoft Outlook Express 5.5
y 6.0 e Internet Explorer 5.01,
5.5 y 6.0, pueden ser descargados de las siguientes
direcciones:
El gusano se propaga a través de las siguientes redes de archivos compartidos Peer to
Peer:
-
appleJuice
-
BearShare
-
eDonkey
-
Filetopia
-
Gnucleus
-
Grokster
-
ICQ
-
iMesh
-
Kazaa
-
KaZaA Lite
-
KMD
-
LimeWire
-
Morpheus
-
Overnet
-
Rapigator
-
Shareaza
-
SoulSeek
-
Swaptor
-
Tesla
-
WinMX
-
XoloX
En cuyas carpetas de descarga libera copias de sí
mismo codificadas en formato MIME con los nombres:
- ACDSee 5.5.html
- Age of Empires 2 crack.html
- Ana Kournikova Sex Video.html
- Animated Screen 7.0b.html
- aol cracker.html
- AOL Instant Messenger.html
- aol password cracker.html
- AquaNox2 Crack.html
- Audiograbber 2.05.html
- AVP Antivirus Pro Key Crack.html
- Avril Lavigne.html
- BabeFest 2003 ScreenSaver 1.5.html
- Babylon 3.50b reg_crack.html
- Battlefield1942_bloodpatch.html
- Battlefield1942_keygen.html
- Bendicion.html
- Britney Spears Sex Video.html
- Buffy Vampire Slayer Movie.html
- Business Card Designer Plus 7.9.html
- cable modem ultility pack.html
- CapBPlan.htm
- Clone CD 5.0.0.3 (crack).html
- Clone CD 5.0.0.3.html
- Coffee Cup Free HTML 7.0b.html
- Cool Edit Pro v2.55.html
- counter-strike.html
- Crack Passwords Mail.html
- Credit Card Numbers generator(incl
Visa,MasterCard,...).html
- Cristina Aguilera Sex Video.html
- delphi.html
- Diablo 2 Crack.html
- DirectDVD 5.0.html
- DirectX Buster (all versions).html
- DirectX InfoTool.html
- divx pro.html
- DivX Video Bundle 6.5.html
- divx_pro.html
- Download Accelerator Plus 6.1.html
- DVD Copy Plus v5.0.html
- DVD Region-Free 2.3.html
- Edonkey2000-Speed me up scotty.html
- FIFA2003 crack.html
- Final Fantasy VII XP Patch 1.5.html
- Flash MX crack (trial).html
- FlashGet 1.5.html
- FreeRAM XP Pro 1.9.html
- FreeSpace
- Game Cube Real Emulator.html
- GetBaseName
- GetRight 5.0a.html
- Global DiVX Player 3.0.html
- Gothic2 licence.html
- GTA 3 Crack.html
- GTA 3 Serial.html
- Guitar Chords Library 5.5.html
- Hentai Anime Girls Movie.html
- Hitman_2_no_cd_crack.html
- Hot Babes XXX Screen Saver.html
- HotGirls.html
- Hotmail Hacker 2003-Xss Exploit.html
- hotmail_hack.html
- ICQ Pro 2003a.html
- ICQ Pro 2003b (new beta).html
- iMesh 3.6.html
- iMesh 3.7b (beta).html
- IrfanView 4.5.html
- Jenifer Lopez Sex Video.html
- KaZaA Hack 2.5.0.html
- Kazaa SDK + Xbit speedUp for 2.xx.html
- KaZaA Speedup 3.6.html
- Links 2003 Golf game (crack).html
- Living Waterfalls 1.3.html
- LosOtros.htm
- macromedia dreamweaver key generator.htm
- Mafia_crack.html
- Matrix Movie.html
- Matrix Screensaver 1.5.html
- Mcafee Antivirus Scan Crack.html
- MediaPlayer Update.html
- Microsoft KeyGenerator-Allmost all microsoft
stuff.html
- mIRC 6.40.html
- mp3Trim PRO 2.5.html
- MSN Messenger 5.2.html
- NBA2003_crack.html
- Need 4 Speed crack.html
- Nero Burning ROM crack.html
- Netbios Nuker 2003.html
- Netfast 1.8.html
- Network Cable e ADSL Speed 2.0.5.html
- NHL 2003 crack.html
- Nimo CodecPack (new) 8.0.html
- Norton Anvirus Key Crack.html
- PalTalk 5.01b.html
- pamela_anderson.htm
- Panda Antivirus Titanium Crack.html
- play station emulator.html
- Popup Defender 6.5.html
- Pop-Up Stopper 3.5.html
- PS2 PlayStation Simulator.html
- Quick Time Key Crack.html
- QuickTime_Pro_Crack.html
- Sakura Card Captor Movie.html
- Screen saver christina aguilera naked.html
- Screen saver christina aguilera.html
- Security-2003-Update.html
- Serials 2003 v.8.0 Full.html
- serials2000.html
- Sex Live Simulator.html
- Sex Passwords.html
- SmartFTP 2.0.0.html
- SmartRipper v2.7.html
- Space Invaders 1978.html
- Spiderman Movie.html
- Splinter_Cell_Crack.html
- Starcraft serial.html
- Start Wars Trilogy Movies.html
- Steinberg_WaveLab_5_crack.html
- Stripping MP3 dancer+crack.html
- subseven.html
- Thalia Sex Video.html
- Trillian 0.85 (free).html
- TweakAll 3.8.html
- Unreal2_bloodpatch.html
- Unreal2_crack.html
- UT2003_bloodpatch.html
- UT2003_keygen.html
- UT2003_no cd (crack).html
- UT2003_patch.html
- VB6.html
- virtua girl - adriana.htm
- virtua girl - bailey short skirt.htm
- Virtua Girl (Full).html
- VirtualSex.html
- Visual Basic 6.0 Msdn Plugin.html
- Visual basic 6.html
- warcraft 3 crack.html
- warcraft 3 serials.htm
- WarCraft_3_crack.html
- Winamp 3.8.html
- winamp plugin pack.html
- WindowBlinds 4.0.html
- Windows XP complete + serial.html
- Windows Xp Exploit.html
- WinOnCD 4 PE_crack.html
- WinRar 3.xx Password Cracker.html
- WinZip 9.0b.html
- winzip full version key generator.htm
- Winzip KeyGenerator Crack.html
- WinZipped Visual C++ Tutorial.html
- XNuker 2003 2.93b.html
- Yahoo Messenger 6.0.html
- Zelda Classic 2.00.html
Los payloads
de este gusano son:
- Se propaga masivamente a través de mensajes
de Correo.
- Los archivos infectados se encuentran
codificados en formato MIME.
- Igualmente lo hace vía la mayoría de redes
de archivos compartidos Peer to Peer.
- El gusano explota unas vulnerabilidades que
afectan a MS Outlook Express 5.5 y 6.0 e Internet Explorer 5.01, 5.5
y 6.0.
- Infecta los archivos con extensión HTML de todas las carpetas y
sub-carpetas del sistema.
PER ANTIVIRUS
® versión
8.5 con registro de virus al 24 de Febrero del 2004, detecta y elimina eficientemente este
gusano.
