|
Duksten.O, gusano español de propagación masiva con diversos
Asuntos, Contenidos y archivos Anexados.
|
|
©
Jorge Machado Lima-Perú
|
|
W32.Duksten.O@mm, I.worm.Duksten.O@mm
Duksten.O
es un gusano variante del Duksten,
reportado 23 de Mayo del 2002 que se propaga
en mensajes de correo con diversos Asuntos, Contenidos y archivos Anexados.
Posee su propio SMTP
(Simple Mail Transfer Protocol) y se
auto-envía a todos los
buzones de la
Libreta Global de Windows WAB
(Windows Address Book).
El gusano también intenta conectarse a un canal específico en
un servidor IRC (Internet
Chat Relay) remoto, pero debido a
errores en su programación no logra este objetivo. Al parecer ha sido
desarrollado en España a partir de un código fuente difundido en algunos
sitios en Internet.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003 y está desarrollado en Assembler, con una extensión de 22
KB.
Los mensajes tienen las siguientes
características:
Asunto, uno de los siguientes:
- ...solo Futbol?
- 21 formas para dejar a tu chico
- A veces llamamos carnaza televisiva pero
son gente normal
- Amor y Odio a veces tan cercanos
- Ana Rosa Quintana escribio un libro que
jamas leyo...o era al reves?
- BOMBAZO!!! MicroSoft compra Konami
- BitDefender un WebSite diferente para
gente diferente
- Cuantas estrellas tiene el HoteL GlamoUr?
- E L I G E M E
- El Chico perfecto, amante de dia ...
- El Diario de Patricia podria ser
suspendido de la programacion!
- El dia del YacuZi de Hornillos hubo algo
mas que no salio en Tv
- El dice si pero ella dice NOOOOOOOOOOOOOO
- El lado bueno de SADAM HUSSEIN
- El odio de Bush no es a quien pensamos...
- Emma Garcia es la revelacion de las
tardes en T5
- Emma TamarGo la mujer que nos eligio a
todos
- En Tv las audiencias justifican el
contenido...
- Encarni,Tamara y Dimio ... al
HoteL...GLAMOUR!
- Es Sadam un tirano,un Robin Hood o un
Hittler?
- Es cierto que me pasaste tu esto?
- Fotos ineditas de los satelites sobre
armamento de IraK
- Hombre o MuJer?
- Hubo tongo en la isla de los famosos?
- Humanidad entera se revela contra el
emperador Bush
- Is Paulina a Borde Girl or a BORDER Girl?
- Joyas literarias en miniatura...un gran
marketing, pero este es mejor
- LISTAS CORAZON ROSA Maria Jimenez vs Pepe
Sancho...un montaje?
- La chica ideal, amante en el lecho,ama de
casa en el hogar y...por la noche?
- Las camaras ocultas que graban a otras
camaras ocultas
- Las fotos de Malena que Rodriguez
Menendez nunca publicara
- Las manazas de Zidane
- Lo de Gran Hermano toma valores de locura
- Lo que Javier Sarda nunca pondra en
Cronicas
- Lo que no se vio en el anuncio de Ronaldo
- Lo que no te podras llevar nunca de un
Hiper
- Mairena al hotel Glamour!
- Mares que soportan vertidos...
- Marta Lopez,Hornillos,David Flores...buen
trieto
- Metal Gear Solid 3 no saldra para PS2!!!!
- Mus o Brisca?
- NOTICION...el Doom3 saldra para PS2 en el
2004
- Nunca creeria tal cosa...pero esto es
TOMBOLA!
- Oculta algo Ana Rosa Quintana???
- Operacion Triunfo o Gran Hermano
- PARCHE adjunto para la vulnerabilidad
iFraXPe del OutLook
- Pocholo no solo le tiro un vaso de agua a
Karmele...
- Portatiles a un precio de ganga
- Prefieres la delantera del Madrid o la de
esta chicarrona?
- Que hace a Patricia una mujer tan
diferente del resto?
- Que harias si pudieses volver a empezar?
- Quienes dijeron que el Barsa estaba
acabado?
- Re: de todos modos el C.V. no esta
completo
- Re: por favor reenviame el EMail que no
me llego
- SALSA ROSA:Alfonso Santisteban o Marisa
Medina,quien miente?
- Sarda,CoTo MaTaMoRos y CIA no paran
- Si en Hotel Glamour sucediera esto...
- Si esto es cierto entonces mejor irnos
del pais
- Si tienes WindowsXP cuidado con la
actualizacion automatica!!!
- Sigue el PrestiGe soltando petroleo?
- Tongo en Operacion Triunfo?
- Tu si puedes tocar el piano
- Venturas y DesVenturas de un Enrique Del
PoZo angustiado
- Y por fin empezo el HoTeL GlaMoUR y como
no...POLEMICA!
- Yo no estuve en DinoPolis pero si en
PortAventura
- Yola, todo un soldado de ... fortuna
- conoces a GigaBYte...una chica BelGa...
- cosas de Coto...
- cuantos programas llevan en Cronicas
Marcianas?
- de un amigo
- el NO A LA GUERRA al reves de Amaral...?
- el VERDADERO asunto del jabon Nenuco al
descubierto
- el beso de Pocholo BordiU a Karmele
trae...colaaaa
- el lado mas tenebroso del presidente
Irakie
- el motivo de que el Risitas y PoZZi no
fueran con Pocholo al HoTel
- este chico llegara lejos...con este
pedazo de...
- existen formas y formas pero esta no me
gusta
- fotos del nuevo proyecto de la Zona0
- la metio Bertin en su sitio al conocer a
Sonia?
- las fotos de Rocio Madrid que nunca se
publicaron
- los tertulianos de Cronicas necesitan
respirar hondo?
- nVidia es superada de nuevo por ATI con
el RV450
- ni el mismisimo Ronaldo puede con esto
- no te creas todo lo que te dicen
- nueva version mas efectiva del mitico
PandActiveScan
- por que A3tv suspendio La Sonrisa del
Pelicano y no El Diario de Patricia?
- por que la peseta sigue venciendo al
euro?
- primero fue Nenuco ahora le toca el turno
a...
- quien sera el proximo en salir en la
foto?
- te reenvio la foto para que veas que esta
trucada!!!
- un interesante estudio de los PettiSuiss
- una nueva crisis en el Barcelona FC ?
- y acerca de la Coca-Cola...es la
Coca...CoKa, o un gran fraude
- Algunas cosas no necesitan comentarios
Contenido, uno de los siguientes:
- ah! y no creas que tengo sed de Amor...
- ah! no te olvides de visitar nuestra WEB
- aumenta esta base de datos y colabora!
- casi sois mil amigos...y lo celebro asi
- cuantos mas lo sepamos mejorrrr!!!!
- de Laura Stevz para esta base de datos
- de un amigo para mas amigos
- de un amigo para un amigo
- de un enemigo para un enemigo
- di no al spam, no a la guerra,no al PP
- espero que te guste, si no es asi dimelo
- este primer envio es gratis,no temas
- esto no es solo producto de la ilusion
- mensajes entre grupos de jovenes
- ni si ni no si no todo lo contrario
- no te olvides de pasarme los canticos
- puedes recoger mas informacion en yax.com
- recuerda pasar esto a un amigo u
enemigo...
- recuerda que no todo el EMail es Spam
- reenvialo a todos los amigos de la guerra
- sacado de www.masqueocio.net
- si a la musica, no a la guerra
- si el adjunto esta defectuoso reenviamelo
- si tienes algo interesante PASAMELO!!!
- si todo lo que recibes es tan bueno,,,
- sintonizanos ahora en 6.145MHz a las 22h
- spam SI guerra NO
- todo esto y mucho mas en coderz.net
- todos los envios que hacemos estan
limpios
- usa el ActiveScan de Panda por si acaso
- visitanos en www.quefuerte.com
- www.tocamelos.net la pagina mas dinamica!
- y di NOOOOOOOO a la guerra
- y recuerda que en LinuXWorld te esperamos
- estos envios no vulneran la LSCI ni la
SGAE
Anexado: un archivo con uno de los
siguientes nombres:
- AMANECE.ZIP
- AMARALX.ZIP
- ANAMRFC.ZIP
- ANTRA_X.ZIP
- ARAMISF.ZIP
- AZNAROF.ZIP
- BERTINS.ZIP
- BORISXX.ZIP
- BUSTMAN.ZIP
- CAMARAX.ZIP
- CARDNAS.ZIP
- CARRSCO.ZIP
- CHENOAX.ZIP
- CLINTON.ZIP
- COCACLA.ZIP
- COCAINA.ZIP
- CONFDNC.ZIP
- COTOMTR.ZIP
- CRONICS.ZIP
- DBISBAL.ZIP
- DRILLER.ZIP
- EDELPOZ.ZIP
- EMMACIA.ZIP
- ENVIDIA.ZIP
- FABIERT.ZIP
- FLAVIOC.ZIP
- FOTOGRF.ZIP
- GABLNDO.ZIP
- GALINDO.ZIP
- GORDITA.ZIP
- GRGBUSH.ZIP
- GRHERMN.ZIP
- HTLGLMR.ZIP
- HUSSEIN.ZIP
- INAUDIT.ZIP
- JENIFER.ZIP
- JNFROPE.ZIP
- JNLOPEZ.ZIP
- JOANTEN.ZIP
- JRGE_GH.ZIP
- JVSARDA.ZIP
- KANALLA.ZIP
- KARMELE.ZIP
- KARTMAN.ZIP
- KIKO_GH.ZIP
- K_I_K_O.ZIP
- LAFLACA.ZIP
- LERENDA.ZIP
- LOMASXX.ZIP
- LOREENA.ZIP
- LUSOLMO.ZIP
- MARISAS.ZIP
- MATAMRS.ZIP
- MAXIMOP.ZIP
- MISILES.ZIP
- MONDRIZ.ZIP
- MTERELU.ZIP
- NE_NUCO.ZIP
- NOABRIR.ZIP
- OZORESS.ZIP
- PEPSICL.ZIP
- PNE_GRD.ZIP
- PRADERA.ZIP
- PRSTIGE.ZIP
- QMASTDA.ZIP
- RITALIN.ZIP
- ROCIOCM.ZIP
- RONALDO.ZIP
- ROSALPZ.ZIP
- SA_DAM_.ZIP
- SA__DAM.ZIP
- SHOWFLO.ZIP
- SIESTAS.ZIP
- SONIAGH.ZIP
- SONIAGH.ZIP
- SPIDRMN.ZIP
- ST_PARK.ZIP
- SXLIDAD.ZIP
- TEMPRAN.ZIP
- TENORIO.ZIP
- TOMBOLA.ZIP
- TOREROS.ZIP
- TXIQUIX.ZIP
- URQIOLA.ZIP
- VENTAS2.ZIP
- ZAPATER.ZIP
- ZIDANNE.ZIP
- _AINOA_.ZIP
- _B_E_T_.ZIP
- __ANIA_.ZIP
- OPTUBMY.ZIP
Al ejecutar el archivo anexado, el gusano se
auto-copia al directorio %Windir% y a la
carpeta %System% y para activarse la
próxima vez que se inicie el sistema el sistema el gusano crea las siguientes
llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mIrcProTecTor" = "%nombre_de_archivo%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mIrcProTecTor" = "%nombre_de_archivo%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"mIrcProTecTor" = "%nombre_de_archivo%"
%nombre_de_archivo%
es la variable que representa el nombre del archivo anexado que infectó el
sistema.
En el siguiente re-inicio del sistema, el gusano
crea un archivo con extensión .ZIP, que es una copia de sí mismo, con uno de
los nombre de los archivos antes mencionados:
%System%\nombre_de_archivo.ZIP
Luego crea una copia del gusano, con
extensión .ZIP, en formato de codificación Base64:
%System%\BASE64.XRF
La codificación Base64
es un complejo diseño de secuencias arbitrarias de octetos en un formato
que no puede ser leído normalmente. Para este propósito se emplea un
sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII
(American Standard Code for Information Interchange),
habilitando 6 bits para ser representados por caracteres imprimibles.
Asimismo el gusano se auto-copia al menú de
Inicio de Windows con uno de los siguientes nombres:
- Anti-Virus ActiveScan.exe
- Trucos de Windows.exe
- Norton Updates.exe
También se copia a la carpeta Mis
documentos, con uno de los siguientes nombres:
- MicroSoft.exe
- LoMasDuro.exe
- Ferrari_F50.exe
- Mirame!.exe
- TvInteligente.exe
- Tatiana_Veronica.exe
- BradPitt Home Page.exe
- pagina oficial de GeorgeClooneY.exe
- U52.exe
- B30.exe
- MatriX2 Trailers.exe
- Desnudos gratis.exe
- ConeJitas!!!.exe
- Pagina Web de Boris.exe
- PlayStation3.exe
- Cosas Indiscretas.exe
- MandraGora.exe
- WEB del Partido Popular.exe
- Meneito.exe
- PlayBoY.exe
- pagina WEB Camela.exe
- Cronicas Marcianas On-Line.exe
- Real Madrid en internet.exe
- Barcelona CF OnLine.exe
- Irak in War!.exe
- Tutoriales de Programacion.exe
- Hotel Glamour en la red.exe
- Foros Hotel Glamour.exe
- Erotismo en la Red.exe
- Pamela Anderson unoficial page.exe
- fotos de famosos.exe
- Camaras ocultas.exe
- Marca online.exe
- MP3-DivX-Fotos GRATIS!!!.exe
- la WEB de los chistes.exe
- el diario AS en internet.exe
- El Mundo del siglo XXI.exe
- Mariah CareY fans.exe
- Eminem.exe
- In-fraganti.exe
- Azafata.exe
Los payloads
de este gusano son:
- Se propaga a través de mensajes de
correo usando los buzones de la Libreta
Global de Windows.
- Usa Asuntos, Contenidos y archivos
Anexados elegidos aleatoriamente de una lista codificada.
- Intenta saturar servidores de
Correo.
- Falla en su intento de conectarse a un
determinado canal de Chat.
PER ANTIVIRUS®
versiones 8.0 y 8.1 con registro de virus al 23 de
Mayo del 2003 detectan y eliminan eficientemente este gusano.
