Der.B

DER.B, gusano infecta masivamente vía Correo, sobre escribe y borra archivos. Trunca el sistema operativo.

W32/Der.B@mm, W32/Vote.F, I-worm.der.B@mm

Der.B es un gusano destructivo, variante del Der, reportado el 30 de Mayo del 2003, de propagación masiva vía Correo con Asuntos y Contenidos aleatorios y dos archivos anexados USA.VS.IRAQ.scr, Plug-In_EXT.dll. Sobre escribe archivos de diversas extensiones y borra los .DLL, dejando inoperativo al sistema.

La muestra fue enviada por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000, está desarrollado en Microsoft Visual Basic 6.0, tiene 116 KB de extensión y requiere que el run-time VB, se encuentre instalado en el sistema para que el gusano pueda ser ejecutado.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book) con las siguientes características:

Asunto: [nombre_de_destinatario], %cadena% THE WAR HAS STARTED !

La %cadena% puede ser uno de los siguientes textos elegidos aleatoriamente:

LET US UNITE,
NOW OUR MISSION: DEATH ?
THE WORLD WAR THREE IS HERE !
REMEMBER OUR LOST SOULS !
WAR SCENES FROM IRAQ !
WORLD TRADE CENTER, REVENGE !
IRAQ WITHOUT ELECTRICITY ?
IRAQ, GETTING STRONGER OR WEAKER ?
IRAQ SURRENDERING !?
USA PREPARED FOR ATTACKS,

Contenido: [nombre_de_destinatario], THE WAR IS NOT A JOKE !... THERE IS ONE BUILDING UP RIGHT NOW
Let's Unite In This Horrible Kaos. Win2K... Fight With Us....!!! ...And Let Us Remember Those Lost Souls ! WE COUNT ON YOU ! Win2K Greetings,
World War Veterans.
PS- See Attachments For War Info.

Anexado: USA.VS.IRAQ.scr Plug-In_EXT.dll

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio raíz y a la carpeta C:\Windows, cuyo nombre lo tiene contenido dentro de su código viral:

C:\Autorun.com
C:\NT-Help.com
C:\Op_Me.co_
C:\Windows\WTC32.SCR
C:\Windows\Notepad.exe

El nombre del directorio Windows está encriptado en el código viral y a veces falla al liberar su copia en NT y 2000, Sin embargo sus otros efectos son ejecutados eficientemente en los demás sistemas operativos Win32.

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"W32Tc" = "C:\Windows\WTC32.scr"

Cambia el siguiente valor para ejecutarse cuando el usuario cargue el Internet Explorer:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "C:\Windows\WTC32.scr"

Asimismo modifica la información del sistema en la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Run]
"ProductName" = "W32.HLLP.I-Worm.WTC.03"
"RegisteredOwner" = "YOU ARE A VICTIM OF THE"
"RegisteredOrganization" = "WORLD TRADE CENTER"

Al activarse el gusano muestra la siguiente caja de diálogo:

Luego inicia su auto-envío masivo variando aleatoriamente el título de las cajas de diálogo desde esta lista:

VICTIM # 5568
VICTIM # 6734
VICTIM # 8635
VICTIM # 5764
VICTIM # 5775
VICTIM # 8643
VICTIM # 434
VICTIM # 6480
VICTIM # 680
VICTIM # 696
VICTIM # 9375
VICTIM # 236
VICTIM # 187
VICTIM # 6545
VICTIM # 4574
VICTIM # 4874
VICTIM # 4765
VICTIM # 5475
VICTIM # 547

Del mismo modo lo hace con el Contenido:

YO NUNCA OLVIDARE A LOS BORICUAS DEL WTC
FUCK THE WTC, LET THEM DIE AND FUCK THEM !!!!
QUE SE JODAN!!!
MOM NEVER CAME BACK
MAYBE SHE WAS FUCKING MY PSYCHOLOGIST
WE WILL ALWAYS REMEMBER THOSE LOST SOULS...
I HAVE FUCKED MORE THEN 27 WOMEN
I AM A SICK PERVERT, I'M ALWAYS THINKING ABOUT
IF I COULD'VE FUCKED MY AUNT BEFORE SHE DIED IN THE WTC !!!!
MY GIRLFRIEND WAS FUCKING MY BEST FRIEND
BUT HIS GIRLFRIEND DOESN'T WANT TO FUCK WITH ME. OH, COME ON !!!!
I LOVED MY GIRLFRIEND. I GUESS SHE NEVER CAME BACK BECAUSE SHE DIED CUMMING
WHILE FUCKING MY FATHER
LORENA, I WANT TO FUCK YOU BEFORE THE 3 PLANE ARRIVES.....SHITT !!!!
I WILL FUCK LORENA
BEFORE OSAMA ARRIVES WITH HIS MISSILE
MY MOTHER DIED ON THE NINTH FLOOR
MY GIRLFRIEND DIED FUCKING HER BOSS.....SHITT !!!!
MY SISTER WAS FUCKING MY BROTHER
BUT SHE HAS NEVER FUCKED WITH ME
I WAS FUCKING MY STEP MOTHER
WHILE SHE SCREAMED : WATCH OUT FOR THAT PLANE... !
I WAS FUCKING THE STATUE OF LIBERTY
WHILE BUSH WAS FUCKING HIS GRANDMA
BILL CLINTON WAS SUCKING MY DICK DURING THE BOMBING
LORENA, MY SISTER FUCKED ME BEFORE SHE SUCKED BILL CLINTON'S DICK.....SHITT !!!!
MY SISTER FUCKED BUSH
I FUCKED MY STEP SISTER
BUT SHE NEVER MADE ME CUM
I FUCKED MY ART TEACHER
BUT SHE NEVER GAVE ME AN A...! DAMN !!!

Ejemplos:

Etc.

Cada vez que el gusano envía un mensaje, marca este proceso en una llave auto-generada:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
WtcSnd = "1"

Luego, busca en todas las unidades de disco los archivos con extensiones .exe y .scr y los sobre-escribe con su código.

También borra todos los archivos con las extensiones .wav, .mp3, .jpg, .bmp, .zip, .rar y .doc, reemplazando cada uno de ellos con su código viral por [nombre_de_archivo_original_extensión.exe]. Ejemplo:

migrafico.jpg (archivo original)
migrafico.jpg.exe (archivo infectado)

Ejecuta el mismo procedimiento con los archivos de extensión .EXE. Ejemplo:

notepad.exe (archivo original)
notepad.exe.exe (archivo infectado)

A continuación borra todos los archivos .DLL ubicados en la carpeta C:\Windows\System32, dejando al sistema inoperativo.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con 2 archivos anexados, haciendo uso de la Libreta de Direcciones de MS Outlook.

Usa además la Libreta Global de Windows WAB (Windows Address Book).

Muestra cajas de diálogo en pantalla, con textos aleatorios, después de cada envío de mensajes.

Se activa cuando el usuario carga el Internet Explorer.

Sobre-escribe archivos con extensiones .exe y .scr

Borra y reemplaza los nombres de archivos de diversas extensiones, agregándoles la extensión .EXE

Borra archivo .DLL de la ruta C:\Windows\System32

Trunca el sistema operativo, dejándolo inoperativo.

PER ANTIVIRUS® versión 8.0 y 8.1 con registro de virus al 30 de Mayo del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)