Epon

EPON, destructivo gusano de Correo, P2P y Chat, borra archivos del sistema y lo deshabilita.

W32/Epon@mm, I.worm.Epon@mm

Epon es un gusano reportado el 04 de Diciembre del 2003, de alta propagación masiva a través de un mensaje de correo con un Asunto alusivo a la cantante Britney Spears.

También se difunde vía las redes de archivos compartidos KaZaa, eDonkey2000, Grokster, Morpheus, Overnet e iMesh. También se propaga a través de canales de Chat en caso de que el sistema infectado tenga instalado el software mIRC.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en MS Visual C++, con una extensión 25.5 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Para la rutina de envío de correo, el gusano libera y ejecuta en memoria un Visual Basic Script creado en la ruta: %Windir%\Temp\Epyon.vbs, que remitirá los mensajes a todas las direcciones de la Libreta de Direcciones de MS Outlook, con las siguientes características:

Asunto: Britney Spears poses nude in the Playboy!
Anexado: Britney Spears.jpg[espacios_en_blanco].exe

Al ser ejecutado se auto-copia a la carpeta %System% con el nombre de Krnl32.exe y para activarse la próxima vez que se re-inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Kernel32" = "%System%\Krnl32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano crea la carpeta "oculta" %System%\Epyon y la cual se auto-copia con los siguientes nombres de archivos:

Britney Spears.jpg[espacios en blanco].exe
Windows Longhorn (Beta Version).exe
Norton Anti-Virus 2004 Professional.exe
Anna Kournikova Screensaver (HOT!).scr
15 yr old masturbating (hidden cam).avi[espacios_en_blanco].exe
HOW TO write viruses.pif
Free XXX passwords.pif
me fucking my sweet ex-girlfriend (she is so HOT!!).mpg[espacios_en_blanco].exe
Teen gangbang.avi[espacios en blanco].exe
Blonde in short skirt fucking (upskirt).mpg[espacios_en_blanco].exe
Drunk girl fucked by 3 guys (awsome!).mpg[espacios_en_blanco].exe
Estella Warren Screensaver (Hottest babe ever!).scr
Jennifer Lopez Screensaver.scr
Sarah Michelle Gellar Screensaver.scr
Buffy The Vampire Slayer Screensaver.scr
Grand Theft Auto Vice City - Multiplayer patch.exe
Quake IV (Beta but working!).exe
Unreal II - The Awakening Serail Generator.exe
Lord of the Rings - The Return of the King.exe
Need For Speed Underground.exe
The Fast and the Furious.exe
The Matrix Online.exe
Unreal Tournament 2004 (Full Game).exe
Final Fanatasy XII (English version).exe
Counter-Strike Condition Zero (Full working Game!).exe
Half Life 2 (Full Game).exe

Luego comparte la carpeta %System%\Epyon con las de las redes Peer to Peer: KaZaA, Morpheus, eDonkey2000, Overnet, iMesh y Grokster.

Adicionalmente borra los siguientes archivos de sistema y lo deshabilita, dejándolo inoperativo:

C:\IO.SYS
C:\MSDOS.SYS
C:\CONFIG.SYS
C:\Boot.ini

Para difundirse por el IRC (Internet Chat Relay) el gusano modifica el SCRIPT.INI del software mIRC infectando a todos los usuarios que se conecten a una misma sesión de Chat.

Luego muestra esta caja de diálogo:

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, con un mensaje alusivo a la cantante Britney Spears a la Libreta de Direcciones de MS Outlook.
Infecta a través de varias redes de archivos compartidos Peer to Peer.
Infecta además vía canales de Chat.
Borra archivos del sistema y lo deshabilita, dejándolo inoperativo.

PER ANTIVIRUS® versión 8.4 con registro de virus al 04 de Diciembre del 2003 detecta y elimina eficientemente este gusano.