Gaggle.B

GAGGLE.B gusano de Correo y Chat deshabilita antivirus sobre-escribe archivos de diversas extensiones, etc.

VBS/Gaggle.B@mm, VBS/Gaghiel.B@mm

Gaggle.B es un gusano peruano reportado el 21 de Enero del 2004 de propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados elegidos aleatoriamente de una determina lista. También se propaga vía el IRC (Internet Chat Relay).

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP/Server 2003, incluyendo los servidores NT/2000/Server 2003

El archivo se auto-envía a la Libreta Direcciones de Windows (WAB) y a los buzones de correo contenidos en los archivos con las siguientes extensiones:

HTML
HTM
ASP
PHP

Su autor es MachineDramon, del grupo internacional de creadores de virus GEDZAC y los mensajes de correo tienen las siguientes características:

Asunto, uno de los siguientes:

Ouija Online
Espias del mas alla
Advertencia de Envio Spam
Registro
Investigacion

Contenido, alguno de los siguientes:

Alguna vez tuviste curiosidad por saber los misterios de
la Ouija, ahora podras conocerlos e incluso jugarla en tu Pc
Mira el tablero interactivo que te enviamos, para obtener informacion
presiona el boton INFO o visita nuestro web: http://www.gratisweb.com/
machinedramon1/gaghiel.html
Has escuchado alguna vez de las psicofonias o videos psiquicos?
Visita nuestra web: http://www.gratisweb.com/machinedramon1/gaghiel.html
Escucha la voz de los muertos, (*$*)
Su Cuenta ha sido denunciada por el envio de Spam(Correo no Deseado).
De repetirse la situación se procederá a la clausura de su cuenta de e-mail.
Los detalles en el informe adjunto.
Atentamente Security IQEl S.A.
Su registro se ha realizado con exito, su nombre y clave de usuario
estan en el texto adjunto, así como las normas y derechos de cada usuario.
Su UserName y Clave son de uso personal y no deben ser revelados, el unico
responsable de ellos es usted
Atentamente Security IQEl S.A.
La investigación que solicitó, tardara aún en resolverse, los
resultados parciales los encontrara en el texto adjunto.
En 15 días le comunicaremos los resultados finales.
Atentamente Security IQEl S.A.

Anexado, uno de los siguientes archivos:

OuijaTabler.hta
Psicofonia.hta
Informe2-p.hta
UserRegister.hta
InformeUFO.hta

Para registrar los mensajes enviados, el gusano crea la siguiente llave de registro:

[HKEY_Current_User\Software\Gedzac Labs]

Para ejecutarse la próxima vez que se inicie el sistema genera las siguientes llaves de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Gaghiel" = "%System%\Gaghiel.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Domain Manager]
"Gaghiel" = "%System%\Gaghiel.vbs"

El gusano libera además el archivo Gaghiel.hta en la carpeta %Startup% y sobre-escribe el archivo wininit.ini en el directorio de Windows.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

El gusano libera el archivo AngeldelMar.html en la carpeta %System% el cual tiene como objeto deshabilitar y borrar ciertos antivirus y archivos del sistema.

Al siguiente re-inicio el gusano verifica que la fecha vigente del sistema sea superior al día 25 y reemplazará la página de inicio del navegador con la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http:/ /www.gratisweb.com/machinedramon1/sachiel.jpg.scr"

Esta dirección IP no existe.

También verifica la suma del día del mes con el mes del año y si esta es igual a 27 muestra el siguiente mensaje:

A continuación el gusano muestra la siguiente caja de diálogo:

El gusano revisa los archivos con extensiones .asp, .hta, .htm, .html, .php, .phtm, .phtml, .sfc, .shtm y .shtml ubicados en todas las carpetas y sub-carpetas, excepto en las carpetas raíz y los infectará con su código viral, anteponiendo la palabra "Gaghiel".

El gusano busca todos los archivos con extensión .VBS y .VBE en el sistema y procederá a sobre-escribirlos con su código viral.

Si el software mIRC está instalado en el sistema infectado, el gusano libera el archivo Mirc.chat en la carpeta %Startup% y modifica el Mirc.ini para vincularlo al software mIRC, que al ser ejecutado infectará a todos los usuarios conectados en una misma sesión de Chat.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo con diversos Asuntos, Contenidos y Anexados.
También se difunde vía el IRC.
Deshabilita diversos software antivirus y borra archivos del sistema.
Muestra diversas falsas cajas de diálogo.
Antepone la palabra Gaghiel en archivos con diversas extensiones.
Sobre-escribe todos los archivos con extensiones .VBS y .VBE.
Intenta cambiar la página de Inicio del Internet Explorer.

PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 21 de Enero del 2004 detecta y elimina este gusano Visual Basic Script.