W32.Duksten.B@mm, Win32/BogusBear@mm

Duksten es un gusano reportado 16 de Octubre del 2002, como BogusBear, pero que ha vuelto a ser propagado el 06 de Mayo del 2003 desde España y con las mismas características, vale decir, simulando contener una "protección" contra el gusano BugBear, dentro del mismo archivo anexado denominado protect.zip y sin ningún contenido. 

Está desarrollado en Assembler y encriptado con rutinas propietarias. Es un PE (Portable Ejecutable) de 9.5 KB de extensión que infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al desempaquetar protect.zip, se ejecuta el archivo ProTecT.exe, el cual muestra esta caja de diálogo:

Al hacer click en "OK" el gusano renombra el archivo original regedit.exe como m_regedit.exe y copia su código viral a un falso regedit.exe. 

Luego se auto-copia a la carpeta %System% como PrTecTor.exe y modifica la llave de registro para ejecutarse la próxima vez que se inicie el sistema: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
XRF = %System%\PrTecTor.exe

La siguiente vez que se inicie el sistema, el gusano libera los siguientes archivos en la carpeta %System%  

• m_WAB.xrf, almacena las direcciones de correo.
• m_PRGRM.ZIP, contiene el gusano ProTecT.exe y será anexado a los mensajes de correo.
• m_BASE64.xrf, contiene una versión UUEncoded del gusano. 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. 

El virus leerá y capturará los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book), colocándolas en el archivo m_WAB.xrf de C:\%System% creando el archivo m_prgrm.zip el cual será auto-enviado masivamente como archivo anexado.

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que emplea como emergencia ya que por defecto usa el SMTP del sistema infectado. 

Después de esta acción, el gusano verificará cada minuto el estado de la conexión a Internet y cuando el usuario se conecte, el virus empezará a auto-enviarse en el formato Base64 a todas las direcciones almacenadas en el archivo m_WAB.xrf, el mismo que será borrado después de haber terminado el envío.

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato, que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para poder ser representados por caracteres imprimibles. 

La codificación UUEncoded es un diseño de secuencias para archivos binarios en formato texto, que permite enviarlos dentro de un mensaje de correo.

El gusano verifica que el año de la fecha del sistema sea 2003 y al comprobarlo cerrará Windows, impidiendo que sea iniciado mientras la fecha sea 2003, provocando en forma constante (loop), el re-inicio del sistema operativo.

Además, al ser el regedit.exe, un falso archivo infectado, cuando el usuario intente ejecutarlo, el gusano borrará determinadas llaves del registro, con lo cual desestabilizará el sistema y será necesario reinstalar Windows.

Al desencriptar el archivo infectado se lee la siguiente cadena de texto:

Los payloads de este gusano son:

• Se propaga a través de mensajes de correo simulando ser un antivirus específico.
• Muestra una pantalla con falso contenido.
• Libera 3 archivos con determinadas funciones.
• Renombra el archivo Regedit.exe y crea uno falso con el nombre original.
• Al ejecutar el falso Regedit.exe se borrarán determinadas llaves del registro.   
• Verifica que el año de la fecha del sistema sea 2003 y al comprobarlo cerrará Windows, impidiendo que el sistema sea iniciado, provocando en forma constante (loop) el re-inicio del sistema operativo.
• Será necesario re-instalar Windows.

PER ANTIVIRUS® versión 8.0 con registro de virus al 06 de Mayo del 2003 detecta y elimina eficientemente este gusano.