ExploreZip.M

EXPLOREZIP.M, propagación masiva y personalizada sobre-escribe archivos de diversas extensiones.

ExploreZip.M@mm, I-worm.ExploreZip.M@mm

ExploreZip.M es un gusano destructivo, variante de la familia ExploreZip, reportado el 09 de Enero del 2003, de alta propagación masiva vía mensajes personalizados de correo, con un archivo anexado zipped_files.exe, que simula tener un formato ZIP pues muestra su icono. Sobre-escribe archivos con diversas extensiones de todas las unidades accesibles de disco y redes compartidas.

Es un PE (Portable Ejecutable) residente en memoria, e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

El gusano se auto-envía en forma personalizada a cada buzón de correo de la Libreta de Direcciones de Windows, MS Outlook y MS Exchange y su éxito se debe a que inserta la identidad del destinatario después de la palabra "Hi" y del remitente, al final del mensaje, provocando un secuencia masiva.

Al ejecutar el archivo infectado muestra un caja de diálogo con un falso mensaje de error:

Ventana de diálogo que muestra el virus ExploreZip

Al hacer click en cualquiera de los botones, el gusano crea en el directorio raíz de C:\ un archivo temporal de nombre ZIPPED_FILES.ZIP, el cual desempaqueta con el WinZip y lo borra después que el usuario cierra la ventana de este utilitario.

Luego libera una copia de sí mismo en %Systems% con el nombre EXPLORE.EXE el cual ha sido desarrollado en Borland Delphi y comprimido con el UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Para ejecutarse la próxima vez que se inicie el sistema el gusano modifica la configuración del archivo WIN.INI agregándole una instrucción de auto-ejecución:

[windows]
run=%System%\explore.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Antes de proceder a su auto-envío el gusano verifica la existencia del Subsistema de Mensajería de Windows, el mismo que está instalado por defecto en todos los sistemas operativos Win32 en la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem]

El Subsistema de Mensajería de Windows es el conjunto de librerías .DLL asociadas a MAPI y en la eventualidad que esta llave no existiese, lo cual es una posibilidad muy remota, el gusano no ejecutará su rutina de auto-envío masivo. En caso contrario continuará con el proceso:

Lo hará haciendo uso de las librerías MAPI (Messaging Application Programming Interface) a todos los buzones de correo que contengan mensajes que no hayan sido leídos.

El mensaje mantiene el Asunto original de cada remitente anterior, con el prefijo "RE:"

Su payload destructivo consiste en:

Borrar de las unidades de disco accesibles y de redes compartidas, el contenido de todos los archivos con las siguientes extensiones:

.C - códigos fuente de C
.CPP - códigos fuente de C++
.H - archivos de cabecera de C++
.ASM - códigos fuente de Assembler
.DOC - documentos de Microsoft Word
.XLS - hojas de cálculo de Microsoft Excel
.PPT - presentaciones de Microsoft PowerPoint

Si estos archivos tienen el atributo de Lectura/Escritura serán sobre-escritos con un valor de "0" bytes.

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 09 de Enero del 2003 detectan y eliminan eficientemente este gusano.