Dgam

Dgam, destructivo gusano se propaga por Correo, borra el REGEDIT, sobre-escribe AUTOEXEC.BAT, etc.

Bat_Dgam@mm

Dgam es un gusano destructivo, reportado el 23 de Noviembre del 2002, de propagación masiva a través de mensajes de correo, con un archivo .BAT anexado de nombre RE-CARD.SWF.BAT, con una extensión de apenas 3 KB, el cual libera el Visual Basic Script VBS_DGAM encargado del auto-envío de correo y otras acciones.

Al ser ejecutado el archivo infectado el gusano se auto-copia al directorio raíz y al de Windows, con los siguientes nombres:

C:\AMDG.BAT (con atributo de solo-lectura)
C:\E-CARD.SWF.BAT (con atributo de solo-lectura)
%windir%\AMDG.BAT (con atributos de oculto y de solo-lectura)

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El gusano libera un archivo de registro de nombre AMDG.REG e importa su contenido al registro del sistema, con el atributo de "oculto" para ejecutarse la próxima vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
amdg = "C:\amdg.bat"

Una vez ejecutado muestra la siguiente caja de diálogo y ejecuta la herramienta Scandisk del sistema, en la unidad C:

Para el auto-envío masivo de mensajes de correo copia a la carpeta C:\Windows\Temp el archivo Visual Basic Script MAIL.VBS, el mismo que hará uso de los buzones registrados en la Libreta Global de Direcciones de Windows.

También libera otro archivo de registro con el mismo nombreHIDERUN.REG y lo importa al registro del sistema:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRun = "1"

Este registro deshabilitará el comando Run en el botón de Inicio de la barra de tareas.

Luego, libera una segunda copia del archivo de registro HIDERUN.REG y sobre-escribe a la anterior, con el propósito de deshabilitar el uso de cualquiera de las Herramientas del Registro de Windows, para lo cual genera la siguiente llave:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools ="1"

Con este comando, el gusano borrará la configuración principal de REGEDIT.EXE en el directorio de Windows, dejando inutilizable al sistema operativo, la próxima vez que sea iniciado.

Finalmente verificará la existencia del archivo C:\WINDOWS\COMMAND\SCANDISK.EXE y al hallarlo sobre-escribirá su contenido al archivo original C:\AUTOEXEC.BAT con instrucciones que muestran el siguiente texto:

## # # ### ##
# # ## # # # # # _
#### # # # # # # #
# # # # # ### ##
!!!ONE BIG FIGHT!!!

Sus payloads destructivos son:

Borra el archivo REGEDIT.EXE
Deshabilita el comando Run del botón de "Inicio"
Deshabilita las Herramientas del Registro de Windows.
Sobre-escribe el AUTOEXEC.BAT.

En su código viral se puede leer el siguiente texto:

coded by RosÜLA
(c) AmDg <--All Souls Day-->Copy Co

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 23 de Noviembre del 2002 detectan y eliminan eficientemente este troyano/backdoor.