|
Trojan.Vbs.Carewmr, Trojan.vbs.MrCarew,
Carewmr es un troyano muy destructivo, reportado el 22 de Octubre del 2002, que ingresa furtivamente a los Servidores, estaciones de trabajo o PC domésticas con un Visual Basic Script auto-ejecutable, deshabilita antivirus y firewalls y borra todo el contenido del directorio C:\Windows.
Este gusano infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Puede ser enviado directamente vía Telnet, a través de un archivo anexado a mensajes de correo electrónico o descargado de una página web infectada. La muestra obtenida contenía el archivo setup.vbs, aunque nada impediría que el nombre del archivo sea aleatorio, pero siempre con la misma extensión.
Al ser ejecutado por primera vez, muestra esta caja de diálogo:
Al hacer click en "OK" muestra el siguiente mensaje:
Si el usuario acepta "OK" el troyano muestra este otro mensaje:
Carewmr se conecta al portal ruso http:\\www.avp.ru y lo instala como Inicio por defecto, en el navegador.
Los días 1o del mes de Septiembre muestra el siguiente mensaje:
Luego borra las siguientes llaves de
registro deshabilitando antivirus y
firewalls:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SystemTray]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\AVPCC]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NAVW32]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TrueVector]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ZoneAlarm
Pro]
También crea los siguientes archivos:
C:\Norton2003isbad_preferKAVORAVP
C:\AVP
C:\NAV
C:\CHILE
C:\TEMUCO
C:\MCAFEE
C:\ENTELPCS
C:\GSM1900MHZ
C:\SONYERICSSON
C:\CAREFULLY_WHIT_ME
C:\YOUR_PC_IS_VERY_BAD
C:\I HATE MELINA
C:\VBS.CarewMR.a
C:\Windows is a real virus?
C:\MELINA_TE_ODIO_MUERETE!
C:\WindowsXP
C:\Windows3.11
C:\Windows98SE
C:\WindowsME
C:\Windows 95
C:\WindowsNT
C:\Windows2000
C:\TELLCELL S.A
C:\PORN
C:\ORAL_SEX
C:\BIN_LADEN_FUCKYOU
C:\ICQ
C:\PANDA
C:\NOD32
C:\TREND
C:\PC-CILLIN
C:\AvpM.exe
C:\Kaspersky_AntiVirus_PersonalPRO_THEBEST!!!!!
C:\Norton_thePOOR
C:\Madonna_Sucking_my_dick.avi
C:\Your_system_is_infected_by_a_virus_jajajajajajaja.jajajaja
C:\THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_AND_PRODUCE:POSITIVES-FALSES
Luego crea los siguientes directorios:
C:\Symantec
C:\KasperskyLabs
C:\PandaSoftware
C:\TrendMicro
C:\Eset-Nod-fucked
A continuación el troyano borra todos las carpetas y archivos contenidos en del directorio
C:\Windows y crea un archivo de texto
con el nombre CLRAV_Report.log, con el
siguiente mensaje:
|
"Due an error, Code error:3212552, CLRAV has not disinfect your computer" "For Support please send a e-mail to support@kaspersky.com and please indicate the Code Error." |
En la cabecera de su código viral se puede leer:
| VBS.CarewMR.a By Jadraquer Killer (Mr.Carew) |
Este troyano tiene dos payloads, consistiendo el primero en deshabilitar los procesos de los antivirus y firewalls, permitiendo que los sistemas queden desprotegidos ante cualquier virus y/o ataque furtivo y en segundo lugar borrar todo el contenido del directorio de Windows, dejando al sistema inutilizable.
PER ANTIVIRUS® versión 7.7 con registro de virus al 22 de Octubre del 2002 detecta y elimina eficientemente este troyano.
