Dref.Q

DREF.Q gusano de Correo termina procesos antivirus, deshabilita firewall Windows accede a sitios web de noticias, etc.

W32/Dref.Q

Dref.Q es un gusano reportado el 22 de Noviembre del 2006 y re-actualizado el 16 de Febrero del 2007 residente en memoria, que se propaga a través de mensajes de Correo, con remitentes falsos, contenidos relacionados a titulares de noticias, asuntos y archivos anexados aleatorios.

Termina procesos de antivirus, firewalls y software de control, deshabilita el Firewall de Windows y el Acceso Compartido al sistema.

Al activarse fuerza al sistema a conectarse a sitios web de noticias vinculadas mayormente a CNN.

Es un PE (Portable Ejecutable) infecta Windows 98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 69KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo extraidas de la Libreta de Direcciones de Windows (WAB) o usando Remitentes falsos (Spoofing).

Los mensajes tienen las siguientes características:

Remitente: emplea además la técnica Spoofing, para disfrazar las direcciones de los remitentes.

Asunto. uno de los siguientes:

Urgent News!
Attn
News!
Incredible news!
Read and resend asap!
Attn to everybody!
Urg
White house news!

Contenido: aleatoriamente incluye titulares de noticias vinculadas mayormente a CNN.

Anexado, uno de los siguientes:

read me.exe
CNN latest news.exe
CNN news reader.exe
cnn.exe
news reader.exe
cnn site explorer.exe
www-CNN-COM.exe
news agent.exe
webnews agent.exe
cnn agent.exe

Al ser activado el gusano se conecta a cualquiera de los sitios web de noticias vinculados a CNN:

Luego se copia a la carpeta %System% con el nombre de wservice.exe, además libera un archivo de nombre aleatorio con extensión .EXE en esa misma carpeta.

para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"UpdateService" = "%System%\wservice.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateService" = "%System%\wservice.exe" "

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

al siguiente inicio activa su rutina de envío masivo de mensajes de correo.

para deshabilitar el Firewall de Windows y el Acceso Compartido al sistema modifica la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "4"

Termina los procesos de una extensa lista de software antivirus, firewalls y programas de control.

PER ANTIVIRUS® versión 10.0 con registro de virus al 16 de Febrero del 2007 detecta y elimina este gusano.