Evaman.D

EVAMAN.E gusano de Correo de alta propagación masiva se conecta a web irónica a Microsoft/Bill Gates, etc.

W32/Evaman.E@mm, I.worm.Evaman.E@mm

Evaman.E es un gusano reportado el 20 de Septiembre del 2004, con parte del código fuente de Mydoom, de propagación masiva a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, Asuntos , Contenidos y archivos Anexados aleatorios.

El gusano muestra el icono de Internet Explorer y se conecta a un sitio en la web que contiene textos, fotos, videos y artículos irónicos sobre Microsoft y Bill Gates:

Termina determinados procesos en ejecución y a partir del 1o de Diciembre del 2004 apagará el sistema en forma continua cada vez que éste sea re-iniciado.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 23 KB y comprimido con el utilitario PECompact:

http://www.collakesoftware.com/pecompact.htm

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB) o de archivos con las extensiones:

txt
htm
html
sht
php
eml
msg
asp
dbx
tbb
adb
pl
wab

Evitando infectar direcciones que tengan las siguientes cadenas y sub-cadenas:

.gov
.mil
@avp
@domai
@foo
@iana
@messagelab
abuse
acketst
ahoo
ample
anda
arin.
ating@
berkeley
borlan
bsd
buse@
cafee
ccoun
cert
ebmaster@
ecur
ertific
ervice
feste
fido
fsf.
gnu
help
hotmail
ibm
icrosof
info
irus
isc.o
isi.e
istser
kasp
kernel
linux
math
mit.e
msn
mydom
npris
ntivi
ontact@
oogle
opho
ostmaster@
page
pdate
pgp
rfc-ed
ripe
rivacy
root@
ruslis
senet
soft
Spam
SPAM
spam
spm
syma
tanford.e
ubmit@
ugs@
unix
upport
utgers.ed
winrar
winzip
xample
you

El mensaje tiene las siguientes características:

Remitente, emplea la técnica Spoofing usando cualquiera de los siguientes nombres:

Alex
Andrew
Anna
Barbara
Brent
Claudia
Debby
Eric
Fred
Jack
James
Jennifer
John
Julie
Kevin
Linda
Maria
Mary
Matt
Pamela
Robert
Susan

y uno de estos dominios:

@aol.com
@hotmail.com
@yahoo.com
@msn.com
@excite.com
@mail.com

Asunto, aleatoriamente uno de los siguientes:

album
You've got a Virtual Postcard!
photos_alb

Contenido, uno de los siguientes:

my pics...*sexy*. Heheh! ;)
You have just received a new postcard from Flashecard.com!
From: [nombre_de_falso_remitente]

To pick up your postcard follow this web address
http://www.flashecard.com.viewcard.main.ecard.php?2342
or click the attached link.

We hope you enjoy your postcard, and if you do, please
take a moment to send a few yourself!

(Your message will be available for 30 days.)

Please visit our site for more information.
http://www.flashecard.com

Anexado, una combinación de las siguientes cadenas:

photo_album
www.flashecard.com?postcard=viewcard?download

con una de las siguientes extensiones:

.scr
.html.scr

Al activarse el gusano crea el mutex "holla_back_bitches" para evitar activarse en memoria más de una vez. Luego se copia a la carpeta %System% con el nombre de syshosts.exe y para ejecutarse la próxima vez que se re-inicie el sistema agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MS Updates" = "%System%\syshosts.exe"

En caso de no lograr crearla, el gusano agrega esta otra llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MS Updates" = "%System%\syshosts.exe"

Como marcador de la infección en el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Syshosts]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio muestra el icono del Internet Explorer y se conecta a un sitio en la web con contenido irónico, fotografías y artículos acerca de Bill Gates y Microsoft:

http://www.microsucks.com

El gusano terminará con los procesos que se encuentren activados, que contengan las siguientes cadenas:

task
msconfig
AV
MC
ieframe
nti
iru
ire
cc
ecu
can
scn
kv
fr
regedit

Finalmente tiene la instrucción de apagar el sistema a partir del 1o de Diciembre del 2004 cada vez que éste sea iniciado.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo usando su propio SMTP con Remitentes disfrazados bajo la técnica Spoofing, usando nombres aleatorios combinados con determinados dominios.
Los Asuntos, Contenidos y Anexados también son aleatorios.
Extrae buzones de correo de la Libreta de direcciones de Windows (WAB) y de archivos con determinadas extensiones, omitiendo los que contienen ciertas cadenas y sub-cadenas.
Mostrando el icono del Internet Explorer se conecta a un sitio web irónico alusivo a Microsoft y Bill Gates.
Termina con determinados procesos en ejecución.
Apagará el sistema a partir del 1o de Diciembre del 2004 cada vez que éste sea iniciado.

PER ANTIVIRUS® versiones 8.8 y 8.9 con registro de virus al 20 de Septiembre del 2004 detectan y eliminan eficientemente este gusano.