W32/Casail

CASAIL gusano de Internet infecta directorio raíz de todas las unidades de disco roba información sensible.

W32/Casail

Casail es un gusano residente en memoria, reportado el 21 de Diciembre del 2007 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo.

Infecta el directorio raíz de todas las unidades de disco, incluyendo dispositivos removibles y excluyendo diskettes.

Su componente "keylogger" captura teclas digitadas, las almacena en determinados archivos .doc y .log y envía a una direción de correo cifrada, supuestamente perteneciente al autor del gusano.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con una extensión de 187KB, no está encriptado.

Al ser activado se copia a las siguientes rutas y con los nombres:

%Windir%\Microsoft.Net\Debug\History
%Windir%\Microsoft.Net\Debug\Temp

Luego libera los siguientes archivos:

%System%\odbcasvc.exe
%Windir%\Temp\123897.exe
%Windir%\uha.exe

crea y registra los siguientes archivos, en caso no existir en el sistema:

%System%\mswinsck.ocx
%System%\scrrun.dll
%System%\msvbvm60.dll

y la siguiente sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\odbcasvc]

El gusano crea además el siguiente servicio:

Nombre: ODBC Administration Service
Descripción: Microsoft Data Access - ODBC Administration Service

y se copia a sí mismo en todas las unidades de disco del sistema infectado:

[Unidad_de_disco]\Recycled\desktop.ini
[Unidad_de_disco]\Recycled\INFO.EXE

para infectar las unidades de disco cuando sea usadas, se copia a:

[Unidad_de_disco]\autorun.inf

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano revisa todas las unidades de disco y dispositivos removibles, inlcuyendo los USB y se copia a la raíz de esas unidades, exceptuando a los diskettes.

Activa su componente "keylogger" que revisa archivos con las extensiones:

.doc
.log

captura teclas digitadas y las archiva en archivos aleatorios con las extensiones .doc y .log, cuya información envía a una dirección de correo cifrada perteneciente al autor del gusano.

PER ANTIVIRUS® versión 10.3 con registro de virus al 21 de Diciembre del 2007 detecta y elimina este gusano.