Eira

EIRA, gusano destructivo se propaga masivamente simulando ser un conocido juego.

Win32/Eira@mm, I-Worm.Quamo

Eira es un gusano propagado el 28 de Noviembre del 2001 en los Estados Unidos y reportado en el Perú el 30 de Noviembre de ese mismo mes, de gran difusión masiva vía Internet, mediante el envío de mensajes a través de servidores de correo, para lo cual hace uso de diferentes archivos anexados, infectados, los mismos que son elegidos en forma aleatoria con el formato PE (Portable Ejecutable).

Tiene una extensión de 56 KB e infecta los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook. Su efecto multiplicador saturará los servidores de correo.

El asunto de los mensajes es elegido en forma aleatoria de la siguiente lista:

Something very special

I know you will like this

Yes, something I can share with you

Wait till you see this!

A brand new game! I hope you enjoy it

El cuerpo del mensaje también es elegido en forma aleatoria:

Is Internet that safe?

Check it out

Hey you, take a look at the attached file. You won't believe your eyes when you open it!

You like games like Quake? You will enjoy this one.

Did you see the pictures of me and my battery operated boyfriend?

My best friend

This is something you have to see!

Till next time

El archivo anexado es elegido aleatoriamente de cualquiera de los siguientes:

Quake4demo.exe

Honey.exe

Setup.exe

Eira simula ser un instalador demostrativo del conocido juego Quake:

http://www.planetquake.com

Si el archivo anexado es ejecutado, se muestra una caja de diálogo simulando la instalación del mencionado juego:

Si se hace clic en el botón "Next", como usualmente se estila, el gusano no ejecuta ninguna acción. Sin embargo, al pulsar el botón "Cancel", el gusano se auto-copia a la carpeta C:\Windows con los nombres:

C:\Windows\Quake4demo.exe
C:\Windows\Honey.exe
C:\Windows\Setup.exe

También crea la carpeta C:\Eira donde se auto-copia con el nombre de Quake4demo.exe.

Para asegurarse de ser activado la próxima vez que se inicie Windows, el gusano modifica la llave del registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Su payload final es destructivo y se manifiesta reemplazando el contenido de todos los archivos con extensión .EXE que se encuentren en la misma carpeta, por el siguiente texto de 199 bytes:

You've didn't protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-2001

Tú no has protegido tus archivos lo suficiente
Que ésta sea una lección! Nunca confíes en nadie más
eiram 1999-2001

PER ANTIVIRUS® versión 7.2 actualizado al 30 de Noviembre del 2001, detecta y elimina eficientemente este gusano.