Ednav.B

EDNAV.B, destructivo gusano polimórfico, borra archivos y llaves de Registro de Windows.

VBS/EDNAV.B@MM, I-worm.Ednav.B

Ednav.B, es un peligroso gusano polimórfico muy destructivo, reportado el 17 de Septiembre del 2002, que se propaga masivamente a través de mensajes de correo, vía MS Outlook con un archivo anexado, de nombre aleatorio con la extensión .vbs y hace lo propio, vía la popular red Kazaa. Borra archivos y llaves de registro de Windows. El contenido del mensaje simula ser una actualización para servidores de correo.

Este Visual Basic Script infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al ejecutar el archivo infectado, en forma inmediata, el gusano sobre-escribe los archivos con extensión .VBS en todas las carpetas y sub-carpetas del sistema, dejándolos inutilizables.

Si el gusano no encuentra el Microsoft Windows Script Host en el sistema, no procederá a infectarlo. Cabe mencionar que para facilitar los procesos o automatizar las tareas la mayoría de equipos lo tienen instalado.

El gusano busca dentro de la carpeta C:\%windir% la carpeta Samples\WSH. Si ésta no existe, el gusano no podrá propagarse a través de KaZaA. En caso de hallarla procederá a modificar la siguiente llave del registro de Windows, para que otros usuarios puedan descargar archivos infectados desde esta carpeta:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
Dir2 = 012345:C:\%windir%\Samples\WSH
DisableSharing = 0

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Si la fecha del sistema es 1o o 31 del mes, el gusano borra todos los archivos de las capeta C:\Mis Documentos y los de todas sus sub-carpetas, mostrando uno de estos 2 mensajes:

Joke: Do not click the OK button or your My Documents files will get lost!

Serious: We have to laugh at our problems.

Cada vez que el usuario ejecute un archivo Visual Basic Script infectado, el gusano procederá a auto-enviar masivamente mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook, con dicho archivo, previamente infectado.

Si la fecha del sistema es 1o, 30 o 31 del mes actual, el gusano borrará todos los archivos del Escritorio de Windows, los cuales tienen acceso directo para su ejecución, desde ese entorno gráfico.

Este gusano polimórfico también auto-envía un mensaje a las siguientes direcciones de correo:

info@mcafee.com
virus_research@nai.com
virus_doctor@trendmicro.com
support@support.trendmicro.com
av_query@trendmicro.com
samples@f-secure.com
anti-virus-support@f-secure.com
support@sophos.com
vsample@avertlabs.com

Otra función del gusano muestra un falso mensaje para engañar al usuario:

Asimismo, crea un enlace a C:\%windir%\Notepad.exe en el Escritorio del sistema infectado.

En los días 29, 30 o 31 esta variante borra una llave del registro de Windows, dejando inutilizable el sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]

Si la fecha es 1o 0 2 del mes vigente, borra la siguiente llave de registro:

[HKEY_CURRENT_USER\SOFTWARE]

Los payload de este nocivo gusano polimórfico son:

Se propaga masivamente por correo tratando de saturar los servidores.
Sobre-escribe archivos con extensión .VBS, dejándolos inutilizables.
Intenta infectar a los usuarios de la red Kazaa.
Borra llaves del registro de Windows en fechas determinadas.
Provoca fallas en el sistema operativo o lo deja inutilizable.

PER ANTIVIRUS® versión 7.6 y 7.7 con registro de virus al 17 de Septiembre del 2002 detecta y elimina eficientemente este gusano.