W32/Gruel.H@mm, I.worm.Gruel.h@mm

Gruel.H es un gusano destructivo reportado el 21 de Julio del 2003, de alta propagación masiva a través de un mensaje de correo con el archivo anexado Rundll32.exe simulando ser una herramienta de Norton Antivirus que protegería de un supuesto virus de Internet. 

Se difunde además vía la red Kazaa con un archivo que aparenta ser un video de la película Matrix Reloaded 2.  

El gusano borra archivos del sistema y carpetas de %System% deshabilitando al sistema operativo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual Basic 6.0, tiene 100 KB de extensión.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook. 

Al ejecutar el archivo el gusano muestra una falsa caja de diálogo de Error de Windows XP y al hacer click en cualquiera de sus dos botones se muestran en pantalla otras cajas de diálogo.

En el caso de Windows XP, el sistema quedará inaccesible y en Windows 2000 la unidad C: será ocultada. Muestra el siguiente mensaje de error:

Luego se activa la rutina de infección, auto-copiándose al directorio raíz de C:\ como Root.exe y para activarse la próxima vez que se inicie el sistema, crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Rundll32" = "C:\Root.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceExe]
"DevicePath" = "C:\Root.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MediaPath" = "C:\Root.exe"

También crea las llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion] 
"ProxyDevice" = "C:\Root.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup]
NetCache="C:\Root.exe"

Para almacenar información crea las siguientes llaves:

[HKEY_CURRENT_USER\Software\kIlLeRgUaTe 1.03]

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\KILLERGUATE]

Adicionalmente el gusano crea una carpeta "Shell" denominada kIlLeRgUaTe 1.03, similar a Mi PC y Mis sitios de Red y para lo cual genera estas llaves de registro: 

[HKEY_CLASSES_ROOT\CLSID\{8C6D8BD6-116B- 4D4E-B1C2-87098DB509BB}]
"default" = "kIlLeRgUaTe 1.03"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ControlPanel\
NameSpace\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}] 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop
NameSpace\{8C6D8BD6-116B-4D4E-B1C2-87098DB509BB}] 

En caso de hacer doble click en el icono de esta carpeta Shell se ejecutará una copia del gusano. 

Las carpetas Shell son aquellas que son invocadas directamente del sistema en el Escritorio de Windows.

Para ejecutarse automáticamente cada vez que se activan archivos con las extensiones .EXE, .COM, .PIF, .BAT, .HT o .HTA el gusano modifica las llaves de registro: 

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] "%1" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] "%1" %*"

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] "%1" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] "%1" %*"

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] 
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] "%1" %*"

[HKEY_CLASSES_ROOT\htfile\Shell\Open\Command] 
"default" = "[ruta_y_nombre_de archivo_de_copia_ejecutada_del_gusano] "%1" %*"

Al siguiente re-inicio el gusano borra los siguientes archivos:

• C:\autoexec.bat
• C:\config.sys
• C:\WINNT\system32\ntoskrnl.exe
• C:\WINNT\system32\command.com
• C:\WINNT\regedit.exe
• C:\Windows\system32\ntoskrnl.exe
• C:\Windows\system32\command.com
• C:\Windows\regedit.exe
• C:\WINNT\system32\*.exe
• C:\WINNT\system32\*.com
• C:\WINNT\system32\*.dll
• C:\WINNT\system32\*.ocx
• C:\Windows\system32\*.dll
• C:\Windows\system32\*.ocx
• C:\Windows\system32\*.exe
• C:\Windows\system32\*.com
• C:\WINNT\Archivos de Programa\Norton AntiVirus\Navw32.exe
• C:\Windows\Archivos de Programa\Norton AntiVirus\Navw32.exe

También borra estas carpetas: 

• C:\WINNT\system
• C:\Windows\system
• C:\WINNT\system32
• C:\Windows\system32
• C:\Inetpub\wwwroot

Cambia el título de la barra de Internet Explorer al generar la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 
"Window Title" = "kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE I dOn'T hAvE NoThInG tO dO!!" 

Deshabilita las funciones SEARCH y RUN del sistema. 

Para infectar vía Kazaa, el gusano se auto-copia con el nombre del archivo Matrix Reloaded 2 avi.exe en las carpetas:

• C:\Windows\Archivos de Programa\Kazaa\My Shared Folder
• C:\WINNT\Archivos de Programa\Kazaa\My Shared Folder  

Los payloads de este gusano son:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• El mensaje simula contener un archivo de Norton Antivirus, que protege de un supuesto virus de Internet.
• Infecta a través de la red Kazaa. 
• Muestra falsos mensajes de error.
• Windows XP quedará inaccesible y la unidad C: de Windows 2000 será ocultada. 
• Se ejecuta automáticamente cada vez que se abren archivos de diversas extensiones. 
• Cambia el título de la barra del Internet Explorer.
• Abre la bandeja de la lectora de CD-ROM.
• Deshabilita las funciones de Search y Run.
• Borra archivos y carpetas del sistema.
• Será necesario re-instalar Windows.

PER ANTIVIRUS® versiones 8.1 y 8.2 con registro de virus al 21 de Julio del 2003 detectan y eliminan eficientemente este gusano.