Der

DER, gusano de propagación masiva vía Correo, sobre escribe y borra archivos. Colapsa el sistema operativo.

W32/Der@mm, W32/WTC32@mm, I-worm.der@mm

Der es un gusano destructivo, reportado el 20 de Marzo del 2003, de propagación masiva vía Correo con un archivo anexado de nombre WTC32.scr, que supuestamente contiene gráficos de la tragedia del World Trade Center ocurrida el fatídico 11 de Septiembre. El mensaje está dirigido a cada Destinatario en forma personalizada.

Este gusano sobre-escribe y borra archivos de diversas extensiones, dejando inoperativo al sistema infectado.

La muestra obtenida nos fue enviada por un miembro del portal de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000, está desarrollado en Microsoft Visual Basic 6.0 y requiere que el run-time VB, se encuentre instalado en el sistema para el gusano pueda ser ejecutado.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio raíz y a %Windir% con los siguientes nombres:

C:\%Windir%\WTC32.scr
C:\%Windir%\Notepad.exe
C:\Autorun.com

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
W32Tc = "%Windir%\WTC32.scr"

Cambia el siguiente valor en el registro para ejecutarse cuando el usuario cargue el Internet Explorer:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = "%Windir%\WTC32.scr"

Cambia los valores en la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Run]
RegisteredOwner = "YOU ARE A VICTIM OF THE"
RegisteredOrganization = "WORLD TRADE CENTER"
ProductName = "W32.HLLP.I-Worm.WTC.03"

Al activarse el gusano, busca en todas las unidades de disco los archivos con extensiones .exe y .scr y procede a sobre-escribirlos con su código.

Luego borra todos los archivos con las extensiones .wav, .mp3, .jpg, .bmp, .zip, .rar y .doc, reemplazando cada uno de ellos con su código viral por [nombre_de_archivo_original_extensión.exe]. Ejemplo:

migrafico.jpg (archivo original)
migrafico.jpg.exe (archivo infectado)

Después ejecuta su rutina de auto-envío de mensajes de correo y marca este proceso, generando la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
WtcSnd = "1"

Muestra en pantalla mensajes aleatorios, que se encuentran encriptados dentro del código viral y se auto-copia a la carpeta %System% con el siguiente nombre:

BkUp[número _aleatorio_de_5_dígitos.exe]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Usa además la Libreta Global de Windows WAB (Windows Address Book).
Se activa además cuando el usuario carga el Internet Explorer.
Sobre-escribe archivos con extensiones .exe y .scr
Borra y reemplaza los nombres de archivos de diversas extensiones, agregándoles la extensión .EXE
Muestra mensajes aleatorios en la pantalla, encriptados en código viral.
Colapsa el sistema operativo.

PER ANTIVIRUS® versión 7.9 y 8.0 con registro de virus al 20 de Marzo del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)