|
Win32/Daduni, W32/Duni@mm, W32/Unidad@mm, I-Worm.Daduni,
Daduni es un gusano reportado el 03 de Julio del 2002, que se propaga masivamente en mensajes de correo con un archivo anexado de nombres aleatorios, con la extensión .cpl (Control Panel Applet) y se auto-envía a todos los contactos del MSN Messenger, haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger.
Después de infectar un sistema, intenta deshabilitar 3 antivirus: VirusScan de McAfee, AVP y PER Antivirus, en cuyo último caso en particular, no ha logrado su objetivo.
Este gusano PE (Portable Ejecutable) infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Está desarrollado sofisticadamente en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de varios Antivirus:
Tanto los asuntos como los archivos anexados son elegidos en forma aleatoria de nombres o frases contenidas dentro del código del gusano.
Remitente, cualquier dirección de correo capturado del sistema infectado.
Asunto, elegido aleatoriamente de estas frases:
Archivos anexados, elegidos aleatoriamente de cualquiera de los siguientes:
Ejemplo de mensaje:
Al ejecutar el archivo infectado éste se copia
al directorio raíz C:\ y al subdirectorio C:\windows o
C:\winnt. El archivo usa
un número aleatorio del 1 al 9, con la extensión .cpl.
Para ser ejecutado la próxima vez que se inicie el sistema agrega un valor a la
llave del registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
este valor es referido al archivo que fue copiado previamente. Ejemplos:
1821 rundll32.exe, shell32.dll,
Control_RunDLL, C:\WINDOWS\1821.cpl
El gusano captura las direcciones de correo de la Libreta de Contactos de MSN
Messenger de la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]
y se auto-envía a través del servidor SMTP
(Simple Mail Transfer Protocol) mail.hotmail.com.
Daduni usa archivos temporales llamados commfig.sys
y k32.vxd ubicados en el directorio
de Windows durante la captura de la lista de direcciones de correo.
También se propaga a través de la popular red compartida Kazza
mediante la cual se descargan videos, archivos MP3, fotografías,
etc., intentando leer el siguiente valor de registro:
[HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0]
y de lograrlo, el gusano se auto-copia a la la red compartida Kazaa
con alguno de los siguientes nombres de archivos que estarán disponibles
para ser descargados por otros usuarios de esta red:
Para evadir la detección y eliminación de
algunos antivirus, el gusano manipula archivos de datos e información del
registro al cual modifica:
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\SharedFiles\Folder]
y apuntando al directorio de Windows altera la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = PAV.EXE C:\%windir%
con el propósito de prevenir que PER ANTIVIRUS®
sea ejecutado al inicio del sistema. Adicionalmente intenta borrar,
infructuosamente, los siguientes archivos correspondientes a nuestro
software:
C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll
así como también intenta borrar los siguientes archivos de la carpeta de
Windows:
PAV.EXE
\bases\avp.set
\system\vshield.vxd
\system32\vshield.vxd
\vshield.vxd
Dentro de su código viral se puede leer esta cadena, no visible para los
usuarios:
"unidadworm"
No podemos ocultar nuestra satisfacción de que un creador de virus haya considerado la posibilidad de deshabilitar nuestro software y nos sentimos orgullosos que 30 minutos después de recibir la primera muestra pudiésemos controlarla.
PER ANTIVIRUS® versión 7.5 actualizado al 03 de Julio del 2002, detecta y elimina eficientemente este gusano.
