Ezio

EZIO gusano de Correo y Peer to Peer borra registros bloquea acceso a sitios web de antivirus firewalls, etc.

W32/Ezio@mm, I.worm.Ezio@mm

Ezio es un gusano reportado el 04 de Mayo del 2005, de propagación masiva a través de mensajes de Correo con un archivo Document.zip, Remitentes disfrazados bajo la técnica Spoofing, Asuntos y Contenidos aleatorios.

Se propaga además vía las redes Peer to Peer. Borra claves del registro y modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software de seguridad, saturando el tráfico a Internet.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic, con una extensión de 136 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todos los buzones contenidos en los archivos con las siguientes extensiones:

txt
html

El mensaje tiene las siguientes características:

Remitente: Mail System}
Asunto: Mail Error
Contenido: Please see the attached document for details.
Anexado: document.zip

Al ser ejecutado muestra la siguiente falsa caja de diálogo:

y luego se copia al directorio %Windir% como SVCHOST.EXE. Para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Service Host Process" = "%Windows%\svchost.exe"

al siguiente inicio del equipo ejecuta su rutina de propagación masiva de mensajes de correo y se auto-copia a las carpetas de descarga de las siguientes redes Peer to Peer:

BearShare
direct connect
eDonkey2000
eMule
gnucleus
grokster
icq
KaZaa
KaZaa Lite
KMD
limeWire
Morpheus
StreamCast
Payloads

El gusano borra las siguientes claves:

32-bit Thunking service
9xHtProtect
ICQ Net
JavaVM
lsass
Norton Antivirus AV
RPCserv32
service
Services
Special Firewall Service
SysMonX
SysMonXP
Tiny AV

de la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

luego inserta uno de los archivos index.htm o index.html en la ruta:

C:\inetpub\wwwroot\index.htm*

posteriormente libera la copia comprimida del gusano, PASSWORD.ZIP, con el atributo de "oculto" en esa misma ruta, agregándole la siguiente línea al index.htm*

[META HTTP-EQUIV="Refresh" CONTENT="0;URL=c:\inetpub\wwwroot\password.zip"]

El gusano manipula el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a a los siguientes portales:

127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.ch
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.ru
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.mcafeehelp.com
127.0.0.1 www.sophos.ch
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru

PER ANTIVIRUS® versión 9.2 con registro de virus al 04 de Mayo del 2005 detecta y elimina eficientemente este gusano.