W32.Drefir.F, I.worm.Drefir.F

Drefir.F es un gusano/backdoor residente en memoria reportado el 19 de Octubre del 2005, que se propaga a través de los buzones de correo capturados de las librerías MAPI (Messaging Application Programming Interface), libera una variante del troyano Rootkit y deshabilita el Compartimiento de Conexión a Internet, impidiendo su acceso y navegación. A través de cualquier puerto TCP que se encuentre abierto se conecta a diversos servidores IRC (Internet Relay Chat) donde ejecutará múltiples sesiones directas Cliente a Cliente para poder propagarse a sí mismo. Es posible que además envíe comandos remotos vía Chat.

Infecta a Windows NT/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 103 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al ejecutar el archivo se copia a la carpeta %System% como Tasksys.exe, libera al directorio raíz C:\ el archivo local.exe que auto-ejecuta en memoria, el mismo que a su vez libera una variante del troyano Rootkit.

Para ser ejecutado la próxima vez que se re-inicie el sistema agrega las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Task Service"  = "%System%\tasksys.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Task Service" = "%System%\tasksys.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio el gusano esconde su proceso activación de la barra de tareas de Windows y usando las funciones de las librerías MAPI (Messaging Application Programming Interface) captura todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

luego deshabilita el Compartimiento de la Conexión a Internet (Internet Connection Sharing) generando esta llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start = "4"

con lo cual los usuarios de los sistemas infectados no podrán conectarse a Internet.

y procede a auto-enviarse a las direcciones capturadas con mensajes de correo extraídos de los sistema infectados, con uno de los siguientes archivos anexados elegidos aleatoriamente:

• AsianPorno4Free.scr
• DivXPorno.pif
• DixPorno.scr
• EuroSex4Free.pif
• Extream-Hardcore-XXX.pif
• Family_Sex.com
• Fix_Mirc.exe
• FreeAmateurPorno.pif
• Free-Hardcore-Sex.rar
• Free-Porno-Gallery.exe
• HardCore-XXX-Pictures.scr
• Hardcore-XXX-Porno.rar
• HiddenXXXPhotos.rar
• Hot_Girls_Sucking_Dicks.scr
• Hot-XXX-Pictures-Collection.rar
• info.rar
• jenna_family.scr
• JennaAndKelly.com
• linda.scr
• mail.scr
• MircSecurity.exe
• musicbox.exe
• My Life.rar
• nude-gallery.com
• package1.rar
• pictures.rar
• pictures_1.exe
• porn.rar
• porno.pif
• PornPicturesCollection.rar
• SecurityUpdate.exe
• Sex4Free.pif
• sex-cum-4free.pif
• SEX-mirc-Access.rar
• Story.scr
• SystemFix.exe
• SystemRepair.exe
• Tiny_Woman_Swallows.pif
• TrialXXXView.scr
• Trojan-Remover.exe
• Vivid_Sex_Trial.exe
• Vivid-Sex.com
• Webcam.com
• Windows_Update.exe
• WinXP_Mirc_Fix.exe
• XXX-PORNO-LIBRARY.com
• YoungFreshPussy.exe

El gusano busca en todas las unidades de disco archivos comprimidos con el formato RAR e inserta su código viral a los mismos.

Actuando como Backdoor se conecta a los siguientes servidores IRC (Internet Relay Chat) usando cualquier puerto TCP que se encuentre abierto:

• eu.undernet.org
• irc.dal.net
• irc.efnet.net
• irc.fr.ircnet.net
• irc.ircnet.ee
• irc.quakenet.org
• irc.rizon.net
• irc.us.ircnet.net
• random.ircd.de
• us.undernet.org

y se une a un salón de Chat donde inicia sesiones directas de Cliente a Cliente (DCC) para luego enviar copias de sí mismo a todos los usuarios que compartan esas mismas sesiones.

PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 19 de Octubre del 2005, detectan y eliminan este gusano/backdoor.