|
Win32/Cianam@MM
Cianam es un gusano reportado el 27 de Septiembre del 2002, que se propaga masivamente en mensajes de correo conteniendo Asuntos, Contenidos y archivos anexados de diversos nombres, con extensión .mpg, pero que en realidad esconden y contienen el archivo BINARY.EXE, con formato PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
El hacker mANiAC89 de Suecia es el autor de este gusano que ocupa 80.5 KB de espacio, está programado en Visual Basic 6.0 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección:
El gusano infecta a través del IRC (Internet Relay Chat) y la popular red Kazaa, haciendo uso del Microsoft Outlook para propagarse a todos los buzones de correo de la Libreta Global de Direcciones.
Remitente, cualquier dirección de correo capturada del sistema infectado.
Asuntos, uno de los siguientes:
Why are you so playful??
Why are you so angry at me??
Why are you so useless??
Why are you so hateful???
We need to talk...!
What's the problem?
How are you??
You need help?
What's happening???
RE: Why you not replying??
Need help! Check this out!
El Contenido del mensaje es uno de los 5 siguientes textos:
I need your help! I'm in a very
difficault position right now. I can't decide
how good the file is from rate 0 To 5! I need
your opinion on it, so check it out
(It's attached to this message!)
and tell me what you think from rate 0 To 5! Bye
.I tried to reach you at MSN Messenger but you weren't online! I got something 'really' important to tell you! Check the attached file (You'll find what I wanted to tell you there!) Ok. Reply as soon as possible!
.Where have you been all the time??? I tried to call you but you weren't home! Anyway, see the attached file! It's important!
.You said you needed help huh? Well I got the solution for your problem! Just open the attached file and see what's in it ;)
.Why are you so angry at me? What have I done to you?? I only want you to check this file out; It describes my opinion about you. Please check it, you won't be dissapointed ;) Hope to hear from you soon :)
El archivo anexado se visualiza como uno de los siguientes archivos, pero cuando
es ejecutado se auto-copia al disco como BINARY.EXE,
el mismo que es el gusano en sí:
File_Cool.mpg
Funny.mpg
Nice_File.mpg
Cool_File.mpg
Nice Tool.mpg
Funny Toy.mpg
Funny Clip.mpg
Nice Song.mpg
Al hacer click en el archivo infectado, éste se auto-copia al directorio raíz de la unidad C:\ con el nombre de COOL_FILE.EXE y para ser ejecutado la próxima vez que se inicie el sistema modifica la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Join.A" = "C:\Windows\BINARY.EXE"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Join.A" = "C:\Windows\BINARY.EXE
Cuando este archivo es ejecutado muestra el siguiente texto en una caja de diálogo:
El gusano realiza una búsqueda en todas las carpetas por el archivo SCRIPT.INI,
en el caso que el sistema infectado tenga instalado el software mIRC
para comunicaciones vía Chat a través de Internet.
Si no lo encuentra, lo sobre-escribe con su propio SCRIPT.INI, con el objeto de infectar a todos los usuarios que se encuentren conectados en una misma sesión de Chat. Esta infección tendrá un efecto multiplicador.
PER ANTIVIRUS® versión 7.6 y 7.7 actualizado al 27 de Septiembre del 2002, detecta y elimina eficientemente este gusano.
