W32/Chowl@mm, I-worm.chowl@mm

Chowl es un gusano reportado el 26 de Febrero del 2003 de alta propagación masiva a través de mensajes de correo con diversos Asuntos y archivos anexados, elegidos en forma aleatoria. También se difunde vía las populares redes Peer to Peer Kazaa, BearShare, eDonkey, Morpheus, Grokster y LimeWire. Termina los procesos de los antivirus que encuentre instalados y satura la memoria, logrando colapsar los sistemas. 

Infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual Basic y tiene una extensión de 33.5 KB.

Sus formatos de mensajes son los siguientes:

Asunto, uno de los siguientes:

• w32/CyberWolf@mm is the newest virus...
• PacketStorm:WINDOWS Xp has several exploits
• A Virtual joke...the funniest around!
• A kiss from me to you 

Anexado, uno de los siguientes:

• CyberWolf-Patch.exe
• Windows Xp Exploit.exe
• The CyberWolf-Joke.scr
• My Kiss for you.scr 

El Contenido del mensaje varía en directa relación con el Asunto y tiene un enlace al archivo infectado cuyo icono ubica en el Escritorio de Windows.

El gusano se auto- copia al directorio %Windir% con los siguientes nombres:

• CyberWolf.exe
• explorer.exe
• Kernell32.exe
• Ms-Dos.com
• regedit32.exe
• service.exe
• system.exe
• system32.exe
• systems.exe
• Windows.scr 

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
CyberWolf ="%Windir%\CyberWolf.exe" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
dllhost= "%System%\dllhost.exe " 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Installer Service ="%System%\msiexec.exe " 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Kernell ="%System%\Kernell32.exe 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Systems Service ="%System%\service.exe "

Luego modifica la llave de registro con el propósito de ejecutarse cada vez que un archivo .EXE es activado:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%Windir%\CyberWolf.exe%1 %* "

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al re-iniciarse el sistema muestra este falso mensaje de mensaje de error:

Al hacer clic en el botón "OK" el gusano activa su rutina de envío masivo de mensajes de correo a la la Libreta de Direcciones de MS Outlook y a la Lista Global de Direcciones de Windows.

Luego busca la existencia de la mayoría de software antivirus y si los halla, intenta terminar con sus procesos, dejando al sistema infectado totalmente vulnerable contra los virus. 

Para infectar a través de las redes P2P, busca en el disco si alguna de sus aplicaciones se encuentra instalada y de hallarlas se auto-copia a las correspondientes carpetas:

\KaZaa\My shared Folder\ 
\Bearshare\Shared\ 
\Grokster\My Grokster\ 
\Morpheus\My Shared Folder\ 
\eDonkey2000\Incoming\ 
\limewire\Shared\ 

El gusano crea además múltiples copias en la carpeta %System%, con caracteres aleatorios, resultantes de la combinación de letras mayúsculas y minúsculas con números, con las extensiones .dsi y .exe, por ejemplo:

Ad13als28ru28r2692.dsi, Ad19als28ru28r2692.exe, etc. 

Finalmente, el gusano se auto-ejecuta en forma consecutiva en la memoria hasta lograr que el sistema colapse.

Los payloads de este gusano son:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• Infecta a través de las más populares red Peer to Peer.
• Termina los procesos de los antivirus que encuentre instalados en el sistema.
• Se auto-ejecuta en memoria, hasta consumirla y lograr que el sistema colapse.

PER ANTIVIRUS® versión 7.9 con registro de virus al 26 de Febrero del 2003 detecta y elimina eficientemente este gusano.