Grew.B

GREW.B destructivo gusano de correo borra registros archivos .EXE y .DLL de antivirus, oculta atributos, etc.

W32/Grew.B@mm, I.worm.Grew.B@mm

Grew.B es un destructivo gusano de correo reportado el 20 de Enero del 2006 que se propaga en mensajes con asuntos y contenidos aleatorios y archivos anexados con una o doble extensión. Es un "dropper" que libera otros archivos.

Se difunde además en las redes con recursos compartidos configuradas con contraseñas débiles.

Borra archivos DLL y EXE de carpetas pertenecientes a determinados software antivirus. Borra además las entradas de inicio de llaves de registro de software antivirus.

Oculta archivos con atributos de "Solo-lectura" y "Sistema" y deshabilita el mouse y teclado.

Infecta Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 63.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano extrae los de la Libreta de Direcciones de Windows (WAB) y de archivos con las extensiones:

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en mensajes con las siguientes características:

Remitente: los extraídos del sistema infectado o con direcciones falsas (Spoofing).

Asunto, uno de los siguientes:

*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
School girl fantasies gone bad

Contenido, cualquiera de los siguientes:

>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello,
Helloi attached the details.
Hot XXX Yahoo Groups
how are you?
i just any one see my photos.
i send the details.
i send the file.
It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED ;)
Thank you
The Best Videoclip Ever
the file i send the details
VIDEOS! FREE! (US$ 0,00)
What?

Anexado, uno de los siguientes:

007.PIF
392315089702606E-02,.SCR
677.PIF
ADULTS_9,ZIP.SCR
ATT01.ZIP.SCR
ATTACHMENTS[001],B64.SCR
CLIPE,ZIP.SCR
DOCUMENT.PIF
DSC-00465.PIF
DSC-00465.PIF
EBOOK.PIF
IMAGE04.PIF
NEW VIDEO,ZIP
NEW_DOCUMENT_FILE.PIF
PHOTO.PIF
PHOTOS,ZIP.SCR
SCHOOL.PIF
SEX,ZIP.SCR
SEX.MIM
VIDEO_PART.MIM
WINZIP,ZIP.SCR
WINZIP.BHX
WINZIP.ZIP.SCR
WORD XP.ZIP.SCR
WORD.ZIP.SCR

Al hacer click en el archivo infectado éste se copia a la carpeta %System% como Sample.zip y libera los archivos en las rutas:

%Root%\temp.htt
%Root%\WinZip_Tmp.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%Windows%\Rundll16.exe
%Windows%\WINZIP_TMP.EXE

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ScanRegistry" = "%System%\scanregw.exe/scan"

en Windows 98 crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%Windows%/scanregw.exe/autorun"

en Windows 2000/XP y Server 2003 libera una copia de si mismo con el nombre de WINZIP QUICK PICK.EXE en la carpeta %Startup%

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

para ocultar archivos con los atributos de "Solo-lectura" y "Sistema" modifica la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:00000000"

su valor por defecto es "dword:00000001"

Al siguiente inicio del sistema activa sus rutinas de envío masivo de mensajes y borra las entradas de inicio de llaves de registro relacionadas a software antivirus:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

APVXDWIN
avast!
AVG7_CC
AVG7_EMC
AVG7_Run
AVG_CC
Avgserv9.exe
BearShare
defwatch
DownloadAccelerator
kaspersky
KAVPersonal50
McAfeeVirusScanService
NAV Agent
OfficeScanNT Monitor
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PccPfw
Pop3trap.exe
rtvscn95
ScanInicio
SSDPSRV
TM Outbreak Agent
tmproxy
Vet Alert
VetTray
vptray

también borra los archivos con extensión DLL y EXE ubicados en las siguientes carpetas de software antivirus:

%Archivos de Programa%\Alwil Software\Avast4
%Archivos de Programa%\BearShare
%Archivos de Programa%\DAP
%Archivos de Programa%\Grisoft\AVG7
%Archivos de Programa%\Kaspersky Lab\Kaspersky Anti-Virus Personal
%Archivos de Programa%\McAfee.com\Agent
%Archivos de Programa%\McAfee.com\shared
%Archivos de Programa%\McAfee.com\VSO
%Archivos de Programa%\Morpheus
%Archivos de Programa%\NavNT
%Archivos de Programa%\Norton AntiVirus
%Archivos de Programa%\Symantec\Common Files\Symantec Shared
%Archivos de Programa%\Symantec\LiveUpdate
%Archivos de Programa%\Trend Micro\Internet Security
%Archivos de Programa%\Trend Micro\OfficeScan
%Archivos de Programa%\Trend Micro\OfficeScan Client
%Archivos de Programa%\Trend Micro\PC-cillin 2002
%Archivos de Programa%\Trend Micro\PC-cillin 2003

Luego rastrea las carpetas de las redes con recursos compartidos configuradas con contraseñas débiles y de ingresar libera una copia de sí mismo con el nombre de WINZIP_TMP.EXE a los recursos:

ADMIN$
C$

PER ANTIVIRUS® versiones 9.5 y 9.6 con registro de virus al 20 de Enero del 2006 detecta y elimina este gusano.