Gluber

GLUBER, gusano de Correo de connotación política técnica spoofing infecta sin necesidad de abrir el archivo.

W32/Gluber@mm, I.worm.gluber@mm

Gluber es un gusano reportado el 20 de Diciembre del 2003, de propagación masiva a través de mensajes de correo con un Asunto relacionado a la Paz, Contenido político internacional y un archivo Anexado en formato HTML de nombre BGLR32.EXE que aprovecha la vulnerabilidad Iframe, y se auto-ejecuta apenas se abre el mensaje sin necesidad de activar el archivo infectado.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con apenas 8.5 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano tiene su propio SMTP (Simple Mail Transfer Protocol), utiliza la técnica Email Spoofing para disfrazar la identidad del Remitente, emplea el servidor de correo smtp.hotpop.com del portal de correo gratuito basado en la web y otros servicios relacionados:

http://www.hotpop.com

Al abrir el mensaje o ejecutar el archivo anexado el gusano se auto-copia a la carpeta %System% con el nombre de Bglr32.exe y para activarse la próxima vez que se inicie el sistema crea la llave de registro en los sistemas basados en tecnología NT:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\NT\CurrentVersion\Winlogon]
"Shell" = "%System%\Explorer.exe bglr32.exe"

Para ejecutarse en Windows 95/98/Me modifica el archivo SYSTEM.INI:

SYSTEM.INI
[boot]
shell = explorer.exe bgl32.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio el gusano revisa los archivos todas las unidades de disco del sistema infectado y extrae las direcciones de correo de los archivos con las extensiones:

.txt
.htm
.html
.eml
.mht
.jse
.asp

Luego procede al envío masivo del mensajes y aunque no tienen un efecto nocivo intenta saturar los buzones de correo.

El parche acumulativo para esta y otras vulnerabilidades se puede descargar desde:

http://www.microsoft.com/windows/ie/downloads/critical/q328970/default.asp

Sus payloads son los siguientes:

Se propaga masivamente en un mensajes de correo de contenido político, haciendo uso de las direcciones de correo extraídas de archivos de varias extensiones.
Aprovecha la vulnerabilidad Iframe que infecta con tan solo visualizar el mensaje.
Posee su propio SMTP (Simple Mail Transfer Protocol), utiliza la técnica Email Spoofing para disfrazar la cabecera del Remitente y se envía a través de un servidor de correo gratuito basado en la web.
Aunque no tienen un efecto nocivo intenta saturar los buzones de correo.

PER ANTIVIRUS® versión 8.4 con registro de virus al 20 de Diciembre del 2003 detecta y elimina eficientemente este gusano.