Derdero

DERDERO gusano de Correo y P2P deshabilita antivirus, etc. borra archivos .EXE deja inoperativo al sistema.

W32/Derdero@mm, I.worm.derdero@mm

Derdero es un gusano, residente en memoria reportado el 18 de Febrero del 2005, de propagación masiva en mensajes de correo con falsos remitentes, asuntos, contenidos y archivos anexados de nombres aleatorios y diversas extensiones.

También se difunde vía las redes Peer to Peer.

Termina los procesos de antivirus, firewalls y software de control, altera el archivo HOSTS para impedir el acceso a diversos sitios web y finalmente borra los archivos .EXE de la unidad C:\ dejando al sistema inoperativo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 264 KB.

Posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos la Libreta de Direcciones de Windows o en los archivos con las extensiones:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

Evitando enviarse a aquellos que tengan las siguientes cadenas:

@symantec
@panda
@avp
@microsoft
@msn
@sopho
@mm
@norman
@norton
@noreply
@virusli
@fsecure
@hotmail

El mensaje tiene las siguientes características:

Remitente: uno de los buzones extraídos de la Libreta de Windows o emplea la técnica Email Spoofing con alguna de las siguientes direcciones y el dominio del sistema previamente infectado:

server
administration
management
service
userhelp

Asunto, uno de los siguientes:

Urgent Update!
Server Error
AHKER.C Alert
URGENT PLEASE READ!
Detailed Information
User Information
New Worm Alert
Malware Avoidance tips

Contenido, uno de los siguientes:

Your Email account information has been removed from the system due to
inactivity. To renew your account information refer to the attachment
We regret to inform you that your account has been hijacked and used for
illegal purposes. The attachment has more information about what has
happened.
Our Email system has received reports of your account flooding email
servers. There is more information on this matter in the attachment
Due to recent internet attacks, your Email account security is being
upgraded. The attachment contains more details
Our server is experiencing some latency in our email service. The
attachment contains details on how your account will be affected.
A new worm is circulating around. To protect yourself, read the attached
document
Please run the urgent patch attached to protect yourself from a new
worm As a service to our users, we have attached a note on avoiding malware.

Anexado, uno de los siguientes nombres:

Update
Details
Information
Gift
Word_Document
Account_Information
Malware_prevention_tips
Patchu

con cualquiera de la extensiones:

zip
scr
pif
cmd
exe
doc.pif
txt.exe
bmp.cmd

En caso que el archivo anexado sea uno de formato .ZIP éste contendrá una copia del gusano, así como también este archivo puede estar empaquetado hasta dos veces.

Crea los siguientes mutex (Exclusión Mutua) para evitar ser activado en memoria más de una vez y para detener la ejecución de los procesos de variantes de varios gusanos, de estar instalados en el sistema:

AdmMoodownJKIS003
(S)(k)(y)(N)(e)(t)
____--->>>>U<<<<--____
NetDy_Mutex_Psycho
_-=oOOSOkOyONOeOtOo=-_
SyncMutex_USUkUyUnUeUtUU
SyncMutex_USUkUyUnUeUtU
Protect_USUkUyUnUeUtU_Mutex
89845848594808308439858307378280987074387498739847
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Bgl_*L*o*o*s*e*
Rabbo_Mutex
Rabbo
SkYnEt_AVP
KO[SkyNet.cz]SystemsMutex
MI[SkyNet.cz]SystemsMutex
Netsky AV Guard
LK[SkyNet.cz]SystemsMutex
[SkyNet.cz]SystemsMutex
AdmSkynetJKIS003
SkyNet-Sasser
S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
Jobaka3
Jobaka3l
JumpallsNlsTillt
SkynetSasserVersionWithPingFast
SkynetNotice
'D'r'o'p'p'e'd'S'k'y'N'e't'
~~~Bloodred~~~owns~~~you~~~xoxo~~~2004

luego se copia al directorio %Windir% y a la carpeta %System% con los nombres:

%Windir%\bloodRed.zip
%System%\detroit.txt
%System%\exe64.sys
%System%\SysHeal.exe
%System%\thunk32.exe
%System%\zip64.sys

Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"32-bit Thunking service" = "%System%\thunk32.exe"

Al siguiente re-inicio el gusano muestra en pantalla una falsa caja de diálogo:

luego crea los siguientes archivos en la carpeta donde se ejecutó el gusano:

[espacios_en_blanco].exe
[espacios_en_blanco].pif

y sin intervención del usuario termina los procesos de los siguientes antivirus, firewalls y archivos de control:

AGENTSVR.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVGSERV9.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVprotect9x.exe
Au.exe
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMON016.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
D3dupdate.exe
DEFWATCH.EXE
DEPUTY.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEBUPW.EXE
ENT.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
EXANTIVIRUS-CNET.EXE
FAST.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
GBMENU.EXE
GBPOLL.EXE
GUARD.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFW2000.EXE
IPARMOR.EXE
IRIS.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDPRO.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LSETUP.EXE
LUALL.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MCAGENT.EXE
MCUPDATE.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGUI.EXE
MINILOG.EXE
MOOLIVE.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
NAV80TRY.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVSTUB.EXE
NAVW32.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NSCHED32.EXE
NTVDM.EXE
NUPGRADE.EXE
NVARCH16.EXE
NWINST4.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVPROXY.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCEXPLORERV1.0.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
RAV8WIN32ENG.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUPVAMEEVAL.EXE
SETUP_FLOWPROTECTOR_US.EXE
SFC.EXE
SGSSFW32.EXE
avserve2.exe
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SYMPROXYSVC.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TAUSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
TDS2-98.EXE
TDS2-NT.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VFSETUP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCENU6.02D30.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WINRECON.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
ZONEALARM.EXE
CCAPP.exe

El gusano verifica si el sistema está conectado a Internet accediendo a www.kazaa.com y cierra la Barra de Tareas de Windows.

Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar y se copia a las mismas con los siguientes nombres:

Nero ACID new cd burning and p2p.exe
Adobe Photoshop 6 Full Version.exe
Windows Longhorn BETA.iso[espacios_en_blanco].exe
WinAmp 5 Crack.exe
WinRAR.exe
Windows XP Pro SP2.pif
Young teen gets reamed.mpg[espacios_en_blanco].pif
jenna jameson screensver.scr
Internet Explorer 7.exe
Snood new version.exe
Tits.mpeg[espacios_en_blanco].scr
Norton AntiVirus 2006 BETA.exe
Battlefield 1942.exe
NETSKY SOURCE CODE.zip[espacios_en_blanco].exe
Kazaa Lite 2005 Edition.zip[espacios_en_blanco].pif
Windows XP crack.zip[espacios_en_blanco].exe
Hot Teen Porn.mpeg[espacios_en_blanco].exe
Britney spears naked Playboy.jpeg[espacios_en_blanco].pif
DVD Copier.exe
Visual Studio.NET.FULL.rar[espacios_en_blanco].exe

También modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a a los siguientes sitios web:

127.0.0.1 www.norton.com
127.0.0.1 norton.com
127.0.0.1 yahoo.com
127.0.0.1 www.yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 windowsupdate.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.google.com
127.0.0.1 google.com

Finalmente sobre-escribe con su código viral a todos los archivos con extensión .EXE de la unidad C:\ dejando al sistema inoperativo.

PER ANTIVIRUS® versión 9.1 con registro de virus al 18 de Febrero del 2005 detecta y elimina eficientemente este gusano.