W32/DeathLetter@mm, VBS/DLetter@mm, VBS/Grimgram@MM

DeathLetter es un gusano reportado el 21 de Febrero del 2003 de alta propagación masiva, mayormente entre los usuarios de habla hispana, a través de un mensaje de correo con 10 formatos diferentes y sus correspondiente archivos anexados, elegidos en forma aleatoria. Se difunde además vía el IRC (Internet Chat Relay) y la red de archivos compartidos Kazaa. 

Los archivos anexados tienen formato HTML pero contienen un Visual Basic Script, que al ser ejecutado verifica si el archivo anexado tiene la extensión . MHT y al comprobarlo auto-copia el script al directorio raíz con la extensión .HTA 

Infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP y tiene una extensión variable.

Sus formatos de mensajes son los siguientes:

Formato 1
Asunto: Mail Delivery Return System 
Contenido: 
El Mensage que envio no pudo ser entregado a uno o más destinatarios 
Anexado: MailFile.mht 

Formato 2
Asunto: Invitacion 
Contenido: 
Lo invitamos a visitar nuestro nuevo sitio FTP, donde podra acceder a una gran cantidad de contenidos y archivos. Un Servicio de FreeServer, para entrar pulse sobre el enlace enviado. 
Anexado: www.ftpfree.mht 

Formato 3
Asunto: Microsoft Internet Explorer 
Contenido: 
Microsoft advierte de una nueva vulnerabilidad en el navegador Internet Explorer 5.X y 6.X, que podría, hacer que un atacante, tomara el control de una pc afectada, muy facilmente, se ruega leer el boletin adjunto y descargar el parche para solucionar este problema. Att. Microsoft Corporation. 
Anexado: Microsoft Bulletin 207.mht

Formato 4
Asunto: Models
Contenido: 
Models a renovado su site, y lo(a) invita a visitar la coleccion de fotografías de las(o) modelos y artistas mas conocidos. Pulse sobre el enlace enviado para entrar. 
Anexado: www.Models.mht 

Formato 5
Asunto: Games OnLine 
Contenido: 
Visita nuestro nuevo site, donde podras descargar gran cantidad de juegos, o entrar a nuestras salas de multijugadores online, la seccion de juegos 3D esta recomendada. Pulsa el enlace enviado para entrar. 
Anexado: www.gmol.mht 

Formato 6
Asunto: Buscas Amistad o Amor? 
Contenido: 
Quieres conocer amigas y amigos o buscas pareja? Visita nuestro site y conoce a gente como tú Pulsa el enlace enviado para entrar.
Anexado: www.rdA.mht 

Formato 7
Asunto: Adivinanzas y Trivias 
Contenido: 
Te gustan las trivias, leyendas, anecdotas, refranes, chistes, test y adivinanzas. Entonces visita nuestra page y mira los que te enviamos. Pulsa el enlace enviado para entrar. 
Anexado: Trivia.mht

Formato 8
Asunto: Te Estan Espiando? 
Contenido: 
Esta proliferando el Spyware(Software Espía), que instalan programas como Kazaa, Grokster, entre otros. El Spyware informa a los servidores del programa que lo instaló, sobre las paginas que visitas y demás habitos de navegacion, con los cuales ellos elaboran perfiles comerciales de usuario Y a diferencia de los troyanos, son legales ya que al instalar estas aplicaciones nos aparece un contrato en ingles(que la mayoría no leemos), y al aceptar estamos permitiendo esto, por lo que muchos antivirus no los detectan, y lo peor es que si le sacamos el Spyware, muchos de estos programas dejan de funcionar, Esto es una burla para nosotros los usarios. Prueba la herramienta AntiSpyware Ad-aware(gratuita), que puedes obtenerla en http://www.lavasoft.de ,una de las mejores que he encontrado. Gracias por darte tiempo para leer esto, no dejemos que esto continue. 
Anexado: NoHabrasEsto.mht

Formato 9
Asunto: Series, Peliculas, Telenovelas 
Contenido: 
Quieres descargar alguna pelicula, capítulos de una serie o novela o encontrar resumenes, adelantos y fotos, o tal vez saber más de sus protagonistas? Entonces busca en nuestra base de datos, pulsa el enlace enviado para entrar. 
Anexado: EnterTvRed.mht

Formato 10
Asunto: Confirmacion de Suscripción 
Contenido: 
Su dirección de correo electronico, fue dada de alta para recibir nuestro boletín, para confirmar que fue usted el que ingreso su direccion o darse de baja, escriba al email que aparece al final del boletín. Att.
Anexado: Boletin N.205.mht

Al activarse muestre este falso mensaje de mensaje de error:

Si el lenguaje del sistema operativo es diferente al español, muestra este mensaje:



El script infectado se copia a la carpeta %System% con el nombre DeathLetter.vbe y para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
DeathLetter = "%System%\DeathLetter.vbe" 

Además el gusano también se auto-copia a la carpeta %System% como Letter_of_the_Death.mht (Carta de la Muerte.mht) y con el nombre de ComoHackearUnMail.mht. 

Una vez re-iniciado el sistema, se ejecuta el script DeathLetter.vbe y el gusano almacena todos los buzones de correo de la Libreta de Direcciones de MS Outlook así como las contenidas en los archivos con extensiones .HTM y .HTML en las siguientes llaves de registro creadas por el gusano: 

[HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.OM] 
Mail %EMAIL_ADDRESS% = "Dmail" 

[HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.XM] 
Mail %EMAIL_ADDRESS% = "Dmail" 

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Un mensaje es enviado a sachiel2015@latinmail.com con el Asunto VBS/DeathLetter Reportandose y con el Contenido de la información del sistema infectado, nombre del usuario registrado, etc.

Para propagarse vía KaZaa, el gusano crea la carpeta GEDZAC_LABS(P2P) en %System% dentro de la cual se auto-copia con los siguientes nombres:

• Ana Kournikova Sex Video.mht
• AVP Antivirus Pro Key Crack.mht
• Britney Spears Sex Video.mht
• Buffy Vampire Slayer Movie.mht
• Crack Passwords Mail.mht
• Cristina Aguilera Sex Video.mht
• Game Cube Real Emulator.mht
• Hentai Anime Girls Movie.mht
• Jenifer Lopez Sex Video.mht
• Matrix Movie.mht
• Mcafee Antivirus Scan Crack.mht
• Norton Anvirus Key Crack.mht
• Panda Antivirus Titanium Crack.mht
• PS2 PlayStation Simulator.mht
• Quick Time Key Crack.mht
• Sakura Card Captor Movie.mht
• Sex Live Simulator.mht
• Sex Passwords.mht
• Spiderman Movie.mht
• Start Wars Trilogy Movies.mht
• Thalia Sex Video.mht
• Winzip KeyGenerator Crack.mht 

Asimismo, el gusano usa los archivos que encuentre en la carpeta de KaZaa, agregándoles la segunda extensión .MHT al final de cada archivo. 

El script infectado modifica también el registro de Kazaa, relacionado sus carpetas, para poder agregarle nuevos archivos que sena descargados, a los cuales infecta, para propagarlos a través de esa vía.  

Para difundirse a través del mIRC, el gusano modifica el MIRC.INI del software mIRC, si este existe, creando un script de nombre DeathLetter.chat, a través del cual envía a todos lo usuarios conectados a una misma una sesión de Chat, una copia de sí mismo, con los siguientes nombres: 

• Aracnofobia.mht
• Relatos.mht
• www.EstasMuerto.mht
• VampireSlayer.mht
• Bush_Is_a_Murderer.mht

Para infectar vía el software Pirch, el gusano modifica los archivos PIRCH98.INI, PIRCH32.INI, EVENTS.DLL y EVENTS.INI para poder enviar copias infectadas con el nombre de ComoHackearUnMail.mht. 

Aleatoriamente el gusano muestra en pantalla un gráfico con el siguiente texto, alusivo a su autoría y abre tres direcciones web: 

• http://www.gedzaclabs.host.sk
• http://www.geocieties.com/zonavirus 
• http://www.estasmuerto.com

Los payloads de este gusano son:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• Infecta a través de la red Kazaa.
• Infecta via Chat haciendo uso de los software mIRC y PIRCH.
• Intenta ocasionar una Negación de Servicio por saturación de servidores.

PER ANTIVIRUS® versión 7.9 con registro de virus al 21 de Febrero del 2003 detecta y elimina eficientemente este gusano.