Daira, gusano de propagación masiva, infecta MS-Word 2000

© Jorge Machado  Lima-Perú

VBS/Daira@MM

Daira es un gusano Visual Basic Script reportado el 31 de Agosto del 2002, que se propaga masivamente en mensajes de correo con un archivo anexado de 15.5 KB con el nombre de VIM.txt.vbs y que además infecta loa archivos de MS-Word 2000. 

Al ejecutar el archivo infectado el gusano se auto-copia al directorio raíz de la unidad C:\ con el nombre de MATSUDARIA_V con atributo "oculto". 

Asimismo crea otra copia en el sistema de Windows con el nombre W32BACKUP.DLL.VBS, también con atributo oculto. Para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
w32 Backup = "%Systems%\w32backup.dll.vbs"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
 
También el gusano se auto-copia a C:\Windows\System como VIM.TXT.VBS, con atributo oculto. Este Visual Basic Script tiene la función de manipular las librerías MAPI (Messaging Application Programming Interface) para  auto-enviarse a los buzones de correo de la Libreta de Direcciones de MS Outlook

El gusano crea otra copia de sí mismo en el directorio raíz, esta vez con el nombre de MATSUDARIA_M, también con atributo oculto, cuyo código será copiado a la plantilla global NORMAL.DOT de MS Word 2000. También interceptará el macro Document_Open

Daira intentará borrar los macros de un documento activo si alguna de estas llaves de registro son válidas:  

[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security]
 Level = "MATSUDARIA_M"

 [HKEY_CLASSES_ROOT\VBSFile]
 ScriptEngine = "MATSUDARIA_M"

Luego el gusano deshabilita el macro Option, Tools. También deshabilita los siguiente comandos del teclado: 

 Alt + F8 – Viewing of Macros 
Alt + F11 – Visual Basic Editor

Asimismo crea un archivo denominado COMDLG16.SCR en %System% el cual es responsable de verificar la siguiente variable en el registro de Windows: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Office\9.0\Word\General Check]
 Boot = “0”

 Esta variable de registro se incrementa cada vez que que el archivo COMDLG16.SCR es ejecutado y cuando el incremento es superior a 18, el gusano cambiando el AUTOEXEC.BAT, agregándole ciertos códigos. 

PER ANTIVIRUS® versión 7.6 actualizado al 31 de Agosto del 2002, detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS