Eliles

ELILES destructivo gusano de correo desarrollado en España deshabilta todos los procesos de seguridad del sistema.

W32/Eliles@mm

Eliles es un destructivo gusano reportado el 17 de Abril del 2007, residente en memoria, codificado en España, que se propaga en mensajes de correo MultiSPAM, infecta el Administrador de Tareas y deshabilita la mayoría de procesos de seguridad del sistema operativo.

Los remitentes son falsos, asuntos aleatorios y un solo contenido. Su archivo anexado está comprimido y se desempaqueta en la memoria.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Está desarrollado en Visual C++ con una extensión de 89.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) o de los archivos con las siguientes extensiones:

asp
cgi
dbx
doc
dochtml
eml
hta
htm
html
htt
htx
ini
map
mapimail
nfo
note
pdf
pnp
shtml
wab

El mensaje tiene las siguientes características:

Remitente: una de las direcciones extraídas del sistema o las siguientes falsas direcciones:

serv.internet@infomail.es (Eva)
serv.internet@infomail.es (Dani)
serv.internet@infomail.es (Sergio)
serv.internet@infomail.es (www.TodoSexo.com)
serv.internet@infomail.es (Guilermo)
serv.internet@infomail.es (Raquel)
serv.internet@infomail.es (Rebeca)
serv.internet@infomail.es (Patricia)
serv.internet@infomail.es (Merche)
serv.internet@infomail.es (Alicia)
serv.internet@infomail.es (Rosario)
serv.internet@infomail.es (Leslie)

Asunto: uno de los siguientes:

FW: El 69. La posicion perfecta?.
FW: 69 Posiciones en un Ascensor.
FW: El maravilloso numero 69.
FW: EL Kamasutra Espanol.
FW: Como hacer el perfecto 69.
FW: Sexo elevado al 69.
FW: Ojo al que practique el 69.
FW: El peligroso juego del 69.

Contenido:

From: EvaMaria_Lopez@tecnocasa.com, LopezTarrega@tecnocasa.com, Franquicia2@tumejorhogar.com.
To: davidelnomo@ono.com, jeronimo25@wanadoo.es , lalore_23@hotmail.com, elbueno_feo@hotmail.com, sanchezpardo@teleline.es , isabel_1980@hotmail.com.
Generalmente, es la mujer la que se sube encima del hombre. Pero... la historia cambiara para siempre...... No intenteis hacerlo con vuestra pareja!!!

Anexados: %Windir%\Fonts\El_Perfecto_69.zip

Al ser activado el gusano se copia a las siguientes rutas, con los nombres:

%SystemDrive%\EL_69.exe
%Windir%\PCHEALTH\HELPCTR\Binaries\msn.exe

libera además los archivos:

%CurrentFolder%\.ico (archivo de registro bitácora de las actividades del gusano)
%Windir%\Dos.cmd
%Windir%\Fonts\El_Perfecto_69.zip (archivo comprimido conteniendo una copia del gusano)
%System%\Info.txt
%Windir%\Tasks\smtp.vbe (archivo Script usado para enviar los mensajes)
%Windir%\Help\Alonso-F1.sis (variante del gusano)

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion \winlogon]
"shell" = "explorer.exe %Windir%\pchealth\helpctr\binaries\msn.exe"

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

al siguiente inicio del equipo el gusano ejecuta su rutina MultiSPAM, luebo infecta la cabecera del Adminsitrador de Tareas:

%System%\taskmgr.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para deshabilitar los procesos de seguridad del sistema crea las siguientes sub-llaves:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools" = "1"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disabletaskmgr" = "1"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"noadminpage" = "1"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\winoldapp]
"disabled" = "1"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"nodrives" = 3ffffff
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"norun" = 1
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"firewalldisablenotify" = "1"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"antivirusoverride" = "1"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"updatesdisablenotify" = "1"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"antivirusdisablenotify" = "1"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"firewalloverride" = "1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion]
"registeredowner" = "Eliles.B&xAE;"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion]
"registeredorganization" = "Carpe Diem Leslie."
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\systemrestore]
"disablesr" = "1"

PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 17 de Abril del 2007 detectan y eliminan eficientemente este gusano.