Cayam

CAYAM gusano de Correo y P2P, simula ser enviado por eBay roba información de las tarjetas de crédito.

W32/Cayam@mm, I.worm.cayam@mm

Cayam es un gusano reportado el 17 de Diciembre del 2003, de alta propagación masiva a través de mensajes de correo con un archivo anexado de nombre eBayVerify.exe. El contenido del mensaje advierte que la cuenta del usuario del popular portal de compras en línea eBay debe ser actualizado en 48 horas y conmina a ingresar su información, incluyendo el de la tarjeta de crédito..

Presentando en pantalla dos formularios de eBay el gusano roba información de las tarjetas de crédito, la misma que será enviada a un sitio web cuya dirección URL se encuentra cifrada. El gusano también se propaga vía las redes Peer to Peer KaZaa y eMule.

La muestra obtenida fue enviada desde España (+2 GMT)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual Basic con 35 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Usa la técnica Email spoofing, que reemplaza el nombre del Remitente.

Al ser ejecutado el archivo anexado, el gusano se auto-copia a las siguientes rutas con 2 diferentes nombres:

%Windir%\Msfind32.exe
C:\eBayVerify.exe

Para ejecutarse la próxima vez que se re-inicie el sistema, modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSFind32 "= "%Windir%\msfind32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"MSFind32 "= "%Windir%\msfind32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente reinicio, el gusano muestra una primera falsa pantalla "My eBay" que solicita la siguiente información:

Nombre de usuario.
Contraseña de acceso.

Si logra ingresar el usuario se muestra otra pantalla HTML donde deberá llenar la información solicitada:

Nombre completo
Dirección
Teléfono
Estado
Código Postal
País
Número de Seguro Social
Fecha de Nacimiento
Licencia de Conducir
Número de Tarjeta de Crédito
Fecha de Expiración
Código de Seguridad
Código de PIN (Personnal Identification Number)
Tipo de Tarjeta
Datos bancarios
Etc.

Una vez llenado el formulario, el gusano almacena la información en un archivo temporal y la envía a un sitio en la la web, cuyo nombre se encuentra cifrado.

Para difundirse vía las redes P2P KaZaa y eMule el gusano se copia a sí mismo con diferentes nombres a las rutas:

C:\Program Files\Kazaa\My Shared Folder\Mayacrack.exe
C:\Program Files\eMule\Incoming\3dsmaxcrack.exe

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, a todos las direcciones de correo de la Libreta de Direcciones de MS Outlook.
Emplea la técnica Spoofing que suplanta al nombre del remitente.
El contenido del mensaje simula contener un aviso de expiración del registro del popular medio de pago en línea PayPal.
Muestra la caja de diálogo de nombre de usuario y contraseña y luego un formulario que conmina al usuario a llenarlo.
Roba la información de las tarjetas de crédito y la envía a una dirección URL cifrada.

PER ANTIVIRUS® versión 8.4 con registro de virus al 17 de Diciembre del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)