Cidas

CIDAS, gusano infecta masivamente vía Correo, Chat y la mayoría de redes Peer to Peer.

W32/Cidas@mm, I.worm.Cidas@mm

Cidas es un gusano reportado el 12 de Junio del 2003, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria. Se difunde también vía las redes Peer to Peer como Kazaa, AppleJuice, BearShare, Grokster, Morpheus, edonkey2000, LimeWire y Overnet y el IRC (Internet Chat Relay).

Este gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic, tiene 27 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book).

Los mensajes tienen las siguientes características.

Asuntos, cualquiera de los siguientes:

New update!
Interesting file
Update your system
A windows patch
Very important!
Try this patch that i've found yesterday, it's very useful!
This Windows update is very simple and powerful! It helped me a lot!
Check out this program, it has a lot of functions!

Contenido: Hi! Install this useful program, and tell me what you think about it! Greet

Anexado, cualquiera de los siguientes:

WinUpdate.exe
WindowsPatch.exe
Updater.exe
WinTool.exe
BugFixer.exe
Upgrade_Installer.exe
Microsoft_patch_7209.exe

Al ejecutar el archivo, el gusano se auto-copia al directorio %Windir% con el nombre de Explorer.exe.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas de descarga de las populares redes de archivos compartidos:

Applejuice
Bearshare
eDonkey2000
Grokster
KaZaA
KaZaA Lite
KMD
Limewire
Morpheus
Overnet

Con los nombres de los siguientes archivos:

Porn_Downloader.exe
Soccer game.exe
WinBugsFixInstaller.exe
AIM password stealer.exe
Norton AntiVirus Crack.exe
Easy_Crack_creator.exe
Christina Aguilera f**ked.exe
Pamela Anderson Sex.exe
Saddam-Alive.exe
Bin Laden-The truth.exe
Hotmail password stealer.exe
RegCleaner_Setup.exe

Para difundirse por el IRC (Internet Chat Relay) el gusano libera y sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC, infectando a todos los usuarios que se conecten a una misma sesión de Chat, con un efecto multiplicador.

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, con una variedad de Asuntos y Anexados en forma aleatoria, con un mismo Contenido.
Emplea los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book).
Infecta a través de la mayoría de redes Peer to Peer.
Se propaga además a través del ICQ sobre-escribiendo el archivo Script.ini.
Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

PER ANTIVIRUS® versión 8.1 con registro de virus al 12 de Junio del 2003 detecta y elimina eficientemente este gusano.