Gedzac.A

GEDZAC.A, gusano infecta vía redes P2P, muestra foto de Avril Lavigne y diversos mensajes en pantalla.

W32/Gedzac.A.vbs, W32/Israfel.vbs

Gedzac.A es un gusano peruano reportado el 14 de Abril del 2004, de alta propagación masiva a través de las redes Peer to Peer como Kazaa, Gnucleus, Grokster, Morpheus, edonkey2000, LimeWire, etc.

Su autor es Machine Dramon miembro del grupo internacional de creadores de virus GEDZAC 2003.

El gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, y es un Visual Basic Script, con 266 KB de extensión.

Al ejecutarse el archivo se copia al directorio a la carpeta %System% con los siguientes nombres:

Hta.vbs
Israfel.vbs
Gedzac.vbs
File.vbs
Mouse_Configuraction.win

Para activarse la próxima vez que se inicie el sistema, el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Kernel32" = "%System%\Kernel32.win"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Israfel" = "%System%\Israfel.vbs"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutar su archivo .WIN agrega las siguientes claves a los registros:

[HKEY_LOCAL_MACHINE\Software\CLASSES\.win]
"winfile"

[HKEY_LOCAL_MACHINE\Software\CLASSES\winfile\ScriptEngine]
"VBScript"

Al siguiente re-inicio del sistema el gusano muestra una foto de la cantante Avril Lavigne:

Libera y copia al directorio raíz el archivo Estigma.hta y si la fecha del sistema es 03 lo abre, el mismo que muestra una ventada DOS:

<****************GEDZAC LABS****************>

VBS/Israfel by MachineDramon/GEDZAC

Hecho en el Perú, Calidad Mundial

!Libertad a Palestina, Iraq y Afganistan - Muerte al Imperialismo de eeuu!

GEDZAC LABS 2003

Si la fecha del sistema es 11 muestra el siguiente mensaje:

Luego del alevoso ataque de eeuu y sus aliados contra Iraq, aun tiene bush el descaro de decir
que lo hizo por libertar al pueblo o por la democracia, como si eso le interesara, solo le
interesa tener gobiernos titeres y el petroleo"&vbcrlf&"(investiguen sobre su dizque reconstruccion
de Iraq), desde los 90 que se pretendia derrocar"&vbcrlf&"al gobierno de Iraq, quien le dio el derecho de decidir que
gobiernos deben ser derrocados o no, acasose cree el policia del mundo, una de las frases
favoritas del Asesino de bush, es el 'origen del mal' el es eso."
Y para terminar otra de sus frases 'que Dios bendiga a los eeuu' ojala lo haga
porque lo van a nesecitar, porque algundia eeuu pagara por querer decirle al

El día 19 de cada mes muestra este mensaje:

19/12/2003 - Saludos a Cienciano Campeon 2003 de la Copa Sudamericana

El día 26 muestra el mensaje:

Soy una ballena de color azúl mi espalda sopla y tu ves esa fuente
de agua limpia aún. Nuestra casa abierta, era el ancho mar
Viajábamos en paz, sin manchas de petróleo que evitar
Busco un sitio puro donde descansar no hay muchas como yo
me tengo que cuidar de ti. Nubes blancas, cielo transparente
y el humano compartiendo con otros, un sueño que quizás ya no regrese
pues ya es tarde para todos nosotros
Soy el cóndor majestuoso del Perú, mi cuello gira y tú
me miras con ojos de luz. Busco un sitio alto donde recordar
que hubo un tiempo mejor, pues como yo no quedan más
Si tus hijos te preguntan cómo fui, no sé que les dirás, me tuve que alejar de ti
Cordilleras blancas dominando, todo ser que se alimenta del río
hombres en aldeas cultivando, sin decirle al campo dame lo que es mío
Estás equivocado, no sabes dónde vas guanacos, osos panda, renos, águilas, delfines y todo lo demás
Estás equivocado no sabes dónde vas un espíritu ronda por la selva llorando lo que fue el jaguar
bienvenido al mundo del hombre construído con detergentes y también con alquitrán
Soy una ballena de color azúl mi espalda sopla y tú ves esa fuente de agua limpia aún
(Cancion perteneciente a 'Los Nosequien y Los Nosecuantos') El 26 de Abril es el día de la Tierra, protegela

El día 29 el gusano abre el navegador e intenta conectarse a:

http://www.avril-lavigne.com

El gusano libera el archivo Sendi.exe que intenta auto-enviarse a través de mensajes de Correo pero debido a un error de programación no logra su propósito. También libera el archivo Regsrv.exe que termina los procesos de la mayoría de software antivirus existentes en el mercado mundial.

Para que estos archivos sean abiertos el sistema debe tener instalado el "runtime" MSVBVM60.DLL, de lo contrario no se ejecutarán sus rutinas.

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas de archivos compartidos existentes en el sistema con las siguientes nombres:

Ana Kournikova Sex Video.zip
AVP Antivirus Pro Key Crack.zip
Britney Spears Sex Video.zip
Buffy Vampire Slayer Movie.zip _
Crack Passwords Mail.zip
Cristina Aguilera Sex Video.zip
Game Cube Real Emulator.zip
Hentai Anime Girls Movie.zip
Jenifer Lopez Sex Video.zip _
Matrix Movie.zip
Mcafee Antivirus Scan Crack.zip
Norton Anvirus Key Crack.zip
Panda Antivirus Titanium Crack.zip
PS2 PlayStation Simulator.zip _
Quick Time Key Crack.zip
Sakura Card Captor Movie.zip
Sex Live Simulator.zip
Sex Passwords.zip
Spiderman Movie.zip
Start Wars Trilogy Movies.zip _
Thalia Sex Video.zip
Winzip KeyGenerator Crack.zip
aol cracker.zip
aol password cracker.zip
divx pro.zip
GTA 3 Crack.zip
GTA 3 Serial.zip _
play station emulator.zip
virtua girl - adriana.zip
virtua girl - bailey short skirt.zip
Virtua Girl (Full).zip

El siguiente texto se puede leer dentro del código viral:

Israfel Worm - GEDZAC LABS 2003
****************GEDZAC LABS****************
VBS/Israfel by MachineDramon/GEDZAC

Los payloads de este gusano son:

Se propaga masivamente a través de la mayoría de redes Peer to Peer.
Se auto-copia a la carpeta %System% con diversos nombres.
Ha sido desarrollado en Perú por Machine Dramon miembro del grupo internacional de codificadores de virus denominado GEDZAC 2003.
Libera otros archivos.
En determinadas fechas muestra diversos mensajes en la pantalla.
Intenta conectarse a uno de los sitios web dedicados a la cantante Avril Lavigne.
Si los sistemas infectados tienen instalado el ejecutor de Visual Basic MSVBVM60.DLL activa un archivo que intenta auto-enviar el gusano a través de mensajes de Correo.
Del mismo modo ejecuta otro archivo que termina los procesos de la mayoría de software antivirus.
Se copia a las carpetas P2P existentes en el sistema con atractivos nombres de archivos.

PER ANTIVIRUS® versión 8.6 con registro de virus al 14 de Abril del 2004 detecta y elimina eficientemente este gusano VBS.