W32/Evaman@mm, I.worm.Evaman@mm

Evaman es un gusano reportado el 04 de Julio del 2004, de propagación masiva a través de mensajes de correo a los buzones del popular servicio basado en la web de yahoo.com. 

Emplea la técnica Spoofing para el Remitente, con Asuntos, Contenidos y archivos Anexados aleatorios.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 14.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables). 

El gusano realiza una búsqueda en email.people.yahoo.com y extrae las direcciones allí contenidas.

Remitente : dirección falsa
Asunto, uno de los siguientes:

• Delivery Status (Failure)
• failed transaction
• failure delivery
• mail failure
• returned mail
• server error

Contenido, uno de los siguientes: 

• This is an automatically generated Delivery Status Notification.
  Delivery to last recipient failed.
  Email returned as attachment text file.
• Message from Mail Delivery Server.
  Unable to deliver message to last recipient.
  Email returned as text file.
• Email returned by the server as ASCII Text mail file.
  To read the email download the included attachment.
• Mail Server Notice:
  Last email sent could not reach intented destination.
  Email returned as ASCII text file.
• The last email sent by this account could not reach intended destination.
  Email has been returned as text file attachment.
• Mail Delivery Status Notification:
  Message returned by server. Message returned as text file attachment.

Anexado, una de las siguientes cadenas:

• body
• message
• email
• returned
• text
• document

Con cualquiera de estas extensiones elegidas aleatoriamente:

• scr
• txt.scr
• html.scr
• outlook.scrtxt.exe

Al ejecutar el archivo el gusano activa el Bloc de Notas de Windows, con una pantalla en blanco:

Se copia a la carpeta %System% como Wintasks.exe.

Genera la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Wintasks]

Y para activarse la próoxima vez que se inicie el sistema modifica la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wintasks.exe" = "%System%\Wintasks.exe"

Para el auto-envío masivo el gusano hará uso de uno de los siguientes servidores de SMTP, los mismos que se encuentran encriptados dentro de su código:

• smtp.rcn.com
• outgoing.verizon.net
• smtp.comcast.net
• mail.mindspring.com
• smtp.email.msn.com
• smtpauth.earthlink.net
• smtp-server.nc.rr.com
• smtp1.attglobal.net
• mailhost.att.net
• mail.optonline.net
• mail.peoplepc.com
• smtpout.bellatlantic.net
• mail.verio.net
• smtp.netzero.net
• smtp.prodigy.net

En caso de no lograr conectarse a cualquiera de estos servidores el gusano busca el servidor instalado por defecto en el sistema infectado, empleando la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\SMTP Server]

Los payloads de este gusano son:

• Se propaga masivamente a los buzones de correo del popular servicio basado en la web de Yahoo.
• Emplea la técnica Spoofing para el Remitente.
• Los Asuntos, Contenidos y archivos Anexados son aleatorios.
• Al activarse por primera vez, el gusano ejecuta el Bloc de Notas de Windows con una pantalla en blanco.
• Busca las direcciones de correo contenidas en email.people.yahoo.com.
• Para su envío emplea una relación de servidores SMTP cifrados dentro de su código.
• De no lograr conectarse empleará el servidor instalado por defecto en el sistema infectado.
• Aunque el gusano no es dañino, debido a la gran cantidad de usuarios del servicio de Correo basado en la web de Yahoo, su alta propagación puede volver lentos los servidores de correo de los sistemas y las estaciones de trabajo.

PER ANTIVIRUS® versión 8.7 con registro de virus al 04 de Julio del 2004 detecta y elimina eficientemente este gusano.