Cult

CULT, gusano/troyano/backdoor se propaga por Coreo y Kazaa controla remotamente vía Chat.

W32/Cult@mm, Troj/Backdoor/Cult

Cult es un gusano/troyano/backdoor reportado el 03 de Marzo del 2003 de propagación masiva a través de mensajes de correo con un archivo anexado de nombre BlueMountaineCard.pif. También se difunde vía la popular red Peer to Peer Kazaa y tiene capacidades de troyano/backdoor de control remoto en el IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Está desarrollado en Visual C++, con una extensión de 12.5 KB y está comprimido con el utilitario XTPack

Posee su propio SMTP (Simple Mail Transfer Protocol) con una única dirección de Remitente y se envía a todos los buzones contenidos en el cTmail, que es el sistema servicio de envío de correo basado en la web, o los que son capturados en archivos del sistema infectado.

Al ejecutar el archivo anexado, el gusano muestra un falso mensaje de error:

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
Microsoft auto update = "winupdate.exe"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Microsoft auto update = "winupdate.exe"

Para infectar a través de la red P2P crea una sub-carpeta con el nombre "Kazaa" en %System% y se auto-copia a la misma con los siguientes nombres:

SMS_sender.exe
DivX 5.03 Codecs.exe
Download accelarator.exe
PaintShop Pro 7 Crack_By_Force.exe
ZoneAlarm Pro KeyGen.exe
Winupdate.exe

Y luego modifica su llave de registro, agregándole este valor:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0" = "%System%\Kazaa"
"DisableSharing " = 0

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Luego crea una llave de registro en la que almacena su información interna que contiene una lista de servidores de Chat para infectar vía el IRC (Internet Chat Relay):

[HKLM\SOFTWARE\Microsoft\WDXDriver]
stv1=
stv2=
stv3=
stv4=
xdvd=

En Windows 95/98/Me el gusano se registra como un como un proceso de servicio y se muestra en la Lista de Tareas.

A continuación el gusano crea una dirección de correo con las siguientes variables:

Apellido_aleatorio + Número_aleatorio@Dominio_aleatorio

El apellido aleatorio es elegido de una lista de 100 cadenas cifradas, siendo las primeras:

Lighthall
Selnes
Vittorini
Gammons
Raker
McRaney

El número aleatorio se compone de 1 o 2 dígitos, aunque alguna veces estos no son incluidos.

El dominio aleatorio es elegido entre los siguientes:

hotmail.com
msn.com
yahoo.com
Roadrunner.com
Earthlink.net
email.com

Una vez generada esta dirección de correo, el gusano envía un mensaje con el mismo Asunto, Contenido y archivo anexado del formato inicial. Ejemplo: Selnes28@yahoo.com

El gusano se conectará a un canal de Chat y el hacker poseedor del Backdoor Cliente, tomará el control en forma remota del sistema infectado, incluyendo servidores.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo.
También se difunde vía la popular red Kazaa.
Captura información del sistema y la envía al poseedor del Backdoor Cliente.
Envía comandos a través del Chat.
Obtiene el control de Acceso Remoto a los sistemas infectados.
Descarga y ejecuta archivos.
Envía comandos a través del Chat.
Etc.

PER ANTIVIRUS® versión 7.9 con registro de virus al 03 de Marzo del 2003 detecta y elimina eficientemente este gusano.