GIFT.C gusano de Correo residente en memoria con diversos formatos usa MS Word para su contenido.  

© Jorge Machado  Lima-Perú

W32/Gift.C@mm, I.worm.Gift.C@mm

Gift.C es un gusano residente en memoria reportado el 02 de Enero del 2005, de alta propagación masiva a través de mensajes de correo con diversos formatos de Asuntos, Contenidos y archivos Anexados aleatorios. Su contenido está compuesto en Microsoft Word.

Al activarse muestra una falsa caja de diálogo. Ha sido desarrollado por 29A, uno de los grupos de codificadores europeos mas creativos, históricos y peligrosos del mundo:

http://vx.netlux.org/29a/

Este grupo considera a PER ANTIVIRUS® en su lista de "Avers" como uno de los más eficientes:

http://vx.netlux.org/29a/links.html

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Borland C++ con una extensión de 32 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Con su propio SMTP (Simple Mail Transfer Protocol) y usando las librerías MAPI se envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a las contenidas en archivos con las siguientes extensiones:

El (*) contempla "Wild Characters"

Los formatos de los mensajes tienen las siguientes características:

Asunto: Improve your site
Contenido: Your page is nice. Test this js scripts and tell me what do you think.
Anexado: js.exe

Asunto: IE5 security patch
Contenido: This is the security patch you asked for... i don't know if is the last version but works.
Anexado: Ie5Patch.exe

Asunto: Shield PAK Installation
Contenido: Take a look at this new archiver! 30 trial version.
Anexado: ISPAK.EXE

Asunto: Secure Communications Inc.
Contenido: Do you feel secure? Run this small program to see if your communications are safe.
Anexado: SCommSetup.exe

Asunto: Cracks
Contenido: Take a look at my cracks list. Ask if you want something ;)
Anexado: clist.exe

Asunto: Sex Farm - Adult contents
Contenido: Sex Farm! Take a look at this little demo for free. Adult content!!!
Anexado: sfarm.exe

Asunto: JsvaScript 4 Docs
Contenido: This is the information you mean? Let me know if you need something else :)
Anexado: jsdoc4.exe

Asunto: VB examples
Contenido: 1st notice... moreover there are some examples. VB4 runtime is needed!
Anexado: instEx.exe

Asunto: My Rom list
Contenido: I love you :* Thanks you for the information. There is my list...
Anexado: myList.exe

Asunto: IE Plug-in
Contenido: There is the plug-in for IE... ;) send me comments.
Anexado: ie-pin.exe

Asunto: NS Plug-in
Contenido: There is the plug-in for NS... ;) send me comments.
Anexado: ns-pin.exe

Asunto: Honey ;)
Contenido: Hi honey! How goes? fine here. There is the little app i told you.
Anexado: SETUP.EXE

Asunto: Quiz
Contenido: Hello, Take a look to this little app!
Anexado: Setup.exe

Asunto: Damn crack...
Contenido: Hello, I'm trying to make run this shit but... please test it if ya can.
Anexado: crack.exe

Asunto: Disk tool
Contenido: Dunno. But try this. May be it works in your system. See you!
Anexado: drDisk.exe

Asunto: Sexy game
Contenido: Cool pics you send me!!! try this little game... rulez!
Anexado: powerDick.exe

Asunto: your dlls
Contenido: Here goes the dlls you asked for. It's strange you don't have it yet :?
Anexado: dlls.exe

Asunto: y2k fix
Contenido: This will fix your problem ;) You're welcome...
Anexado: y2k.exe

Asunto: benchmark
Contenido: A backdoor?? nah. But if this makes you feel better, there's a benchmark.
Anexado: bdbench.exe

Asunto: why?
Contenido: What can i do? please reply as soon as posible.
Anexado: doc.exe

Asunto: cool mail
Contenido: I'm testing my new cool mail client... rockz! and is smallllll ;)
Anexado: smail.exe

Asunto: freeIRC beta mail list
Contenido: Last Beta 0.6. Reply with subject "un-subscribe" to leave mail list...
Anexado: setupb.exe

Al ser ejecutado el archivo se copia a la carpeta %System% como Rundllw32.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Run" = "%Windows%\Rundllw32.exe"

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98/Me:

[windows]
load = %Windows%\Rundllw32.exe
run = %Windows%\Rundllw32.exe
NullPort = None

Al siguiente re-inicio del sistema se activa en memoria y muestra la siguiente caja de diálogo:



Independientemente de que el usuario haga o no un click en "OK" el gusano procede a ejecutar sus rutinas de auto-envío masivo de mensajes de correo.

Dentro de su código se puede leer las siguientes cadenas de texto:

This is a I-Worm coded by Bumblebee\29a!
Gretingz to all 29a members ;)
I-Worm.RunDllw32 Activated

PER ANTIVIRUS® versión 9.0 con registro de virus al 02 de Enero del 2005 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS