W32/Gant.B@mm, W32/Outsider.B@mm, W32/Redzed.B@mm

Gant.B es un gusano reportado el 25 de Junio del 2003, variante del Gant de alta propagación masiva a través de mensajes de correo elegidos de uno de 6 formatos con Asuntos, Contenidos y archivos Anexados. Se difunde además vía las redes Peer to Peer Kazaa, LimeWire, Gnucleus, Shareaza, BearShare, Edonkey, Edonkey2000, Morpheus, Grokster y el ICQ. 

Una vez ejecutado termina los procesos de antivirus, firewalls y programas de control. Asimismo extrae las Claves de Acceso almacenadas en el Cache y las envía a la dirección del hacker. También se propaga en las unidades de disco de Redes con recursos compartidos.  

Este gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic 6.0, tiene 18 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Los mensajes tienen uno de los siguientes formatos:

Formato 1
Asunto: The file
Contenido: Here is that file that you asked for a few days ago.
I'm sorry I sent it this late 
Anexado: [nombre_aleatorio].pif  

Formato 2
Asunto: Re:
Contenido: Hello,
Have I sent you the Gift Card in the attachments before? if not, check it out!
Cya!
Anexado: Card_0[número_aleatorio_de_1_dígito>.pif 

Formato 3
Asunto: Joke book
Contenido: 
Check out the joke book in the attachments! it has some really good jokes (not lame jokes hehe)
Have fun! 
Anexado: JokeBook.pif

Formato 4
Asunto: Read this before?
Contenido: Hello,
have you read the "Hackers of "?
If you haven't, It is in the attachments :)
It contains true stories, hacking techniques, and more!
It is a fairly big thing to read, so don't read it all at once!
Cya! 
Anexado: Hackers[Año_aleatorio].pif 

Formato 5
Asunto: Better than KaZaA?
Contenido: Message Body:If you download music files from the internet, you would know that KaZaA is seen to be the best file-sharing network for music. Well, I have included a file in the attachments that connects and downloads music twice as fast as what KaZaA can do. It works well with my computer!
Enjoy! 
Anexado: P2PInstall.exe

Formato 6
Asunto: The file 
Contenido: Here is that file you wanted (in the attachments). 
Anexado, uno de los siguientes archivos:

• New WinZip File.pif
• New Microsoft Word Document.pif
• New Microsoft Excel Worksheet.pif
• New Microsoft PowerPoint Presentation.pif
• New Text Document.pif
• New Bitmap Image.pif 

Al hacer click en el archivo anexado, el gusano se registra como un servicio de Windows con el objeto de permanecer activo en memoria y se auto-copia al directorio %Windir% como Winexec32.exe y libera el archivo JokeBook.pif, conjuntamente con copias de sí mismo de nombres aleatorios con la extensión .PIF. 

Asimismo libera el componente Msexec32.vbs en la carpeta %System% y para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Windows Explorer Shell" = "%Windir%\Winexec32.exe" 

Para ejecutar el componente Visual Basic Script agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"Wscript = %System%\Msexec32.vbs %1" 

El componente VBS permitirá que el gusano se propague en todas las unidades de disco de las Redes con recursos compartidos, usando el archivo SetupPasswords.exe y liberará copias del gusano en la carpeta %System% con los siguientes nombres:

• Mscab1_32.cab
• Mscab2_32.cab
• Mscab3_32.cab
• Mscab4_32.cab
• Mscab5_32.cab
• Mscab6_32.cab 

Para marcar a un sistema infectado el gusano agrega la siguiente llave:

[HKEY_CURRENT_USER\Software\Zed\Outsider]
"Outsider2" = "W32/Outsider.B by Zed"

Una vez activado, el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de hackers:

• _AVP.EXE
• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ANTI-TROJAN.EXE
• APVXDWIN.EXE
• AUTODOWN.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCTRL.EXE
• AVKSERV.EXE
• AVNT.EXE
• AVP.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPDOS32.EXE
• AVPM.EXE
• AVPMON.EXE
• AVPNT.EXE
• AVPTC32.EXE
• AVPUPD.EXE
• AVSCHED32.EXE
• AVWIN95.EXE
• AVWUPD32.EXE
• BLACKD.EXE
• BLACKICE.EXE
• CCAPP.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFIND.EXE
• CFINET.EXE
• CFINET32.EXE
• CLAW95.EXE
• CLAW95CF.EXE
• CLAW95CT.EXE
• CLEANER.EXE
• CLEANER3.EXE
• DV95.EXE
• DV95_O.EXE
• DVP95.EXE
• DVP95_0.EXE
• ECENGINE.EXE
• EFINET32.EXE
• ESAFE.EXE
• ESPWATCH.EXE
• F-AGNT95.EXE
• FINDVIRU.EXE
• FPROT.EXE
• F-PROT.EXE
• FPROT95.EXE
• F-PROT95.EXE
• FP-WIN.EXE
• FRW.EXE
• F-STOPW.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• IBMASN.EXE
• IBMAVSP.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICMOON.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFACE.EXE
• IOMON98.EXE
• JED.EXE
• JEDI.EXE
• KPF.EXE
• KPFW32.EXE
• LOCKDOWN2000.EXE
• LOOKOUT.EXE
• LUALL.EXE
• MOOLIVE.EXE
• MPFTRAY.EXE
• N32SCAN.EXE
• N32SCANW.EXE
• NAVAPW32.EXE
• NAVLU32.EXE
• NAVNT.EXE
• NAVSCHED.EXE
• NAVW.EXE
• NAVW32.EXE
• NAVWNT.EXE
• NISUM.EXE
• NMAIN.EXE
• NORMIST.EXE
• NUPGRADE.EXE
• NVC95.EXE
• OUTPOST.EXE
• PADMIN.EXE
• PAVCL.EXE
• PAVSCHED.EXE
• PAVW.EXE
• PCCWIN98.EXE
• PCFWALLICON.EXE
• PERSFW.EXE
• RAV7.EXE
• RAV7WIN.EXE
• RESCUE.EXE
• SAFEWEB.EXE
• SCAN32.EXE
• SCAN95.EXE
• SCANPM.EXE
• SCRSCAN.EXE
• SERV95.EXE
• SMC.EXE
• SPHINX.EXE
• SWEEP95.EXE
• TBSCAN.EXE
• TCA.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• VCONTROL.EXE
• VET32.EXE
• VET95.EXE
• VET98.EXE
• VETTRAY.EXE
• VSCAN40.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSSCAN40.EXE
• VSSTAT.EXE
• WEBSCAN.EXE
• WEBSCANX.EXE
• WFINDV32.EXE
• ZAPRO.EXE
• ZONEALARM.EXE