Insae.C

INSAE.C gusano de Correo con Asuntos Contenidos y Anexados en español borra múltiples archivos, etc.

W32/Insae.C@mm, W32/Tasim.C@mm, I.worm.Insae.C@mm

Insae.C es la última variante de un gusano destructivo, producido en España, reportado el 24 de Noviembre del 2004, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria, en idiomas español.

Borra archivos de múltiples importantes extensiones dejando a los sistemas incompletos, haciendo necesario re-instalar programas y carpetas.

Infecta únicamente a Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 50 KB de extensión promedio, aunque algunos componentes están desarrollados en MS Visual C++ y comprimidos con el utilitario FSG:

http://www.exetools.com/compressors.htm

El mensaje tiene las siguientes características:

Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y usa la técnica Spoofing para ocultar a los verdaderos remitentes.

Asunto, uno de los siguientes:

re:xD no me lo puedo creer!!
re:Crees que puede ser verdad?
re:Amor verdadero
re:Déjate de rollos y vivé!!!
re:Pisología
re:Neptuno y Mercurio
re:La Luna
re:Voodoo un tanto ps...
re:Eso con queso rima con...xD
re:Como el aire...

Contenido, uno de los siguientes:

No veas que cosas xD,luego me cuentas,chao.
Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
Mira lo que te mando y ya verás que los detalles mas pequeños son los que importan,ciaoo
Test para ver si andas bien de las neuronassss!xD,luego hablamos, chao
Qué relación tienen estos planetas?,miralo y luego me cuentas,chao.
Esa moribunda y solitaria Luna,Impresionante!chao.
Será cierta la magia negra?,sal de dudas y ya me cuentas,chao.
No comment,xDD,Nos vemos!!
Renvíalo a todo que es que se meannn xD,nos vemos!

Adjunto, cualquiera de los siguientes archivos:

D-INCÓGNITO.ZIP
EL_RECHAZO.ZIP
LOVE-ME.ZIP
MOON(LUNA).ZIP
MY LIFE(MI VIDA).ZIP
PARA-BRISAS.ZIP
PLANETARIO.ZIP
PSÍQUICO-MIX.ZIP
RIMAZ.ZIP
VOODOO!.ZIP

Al ser ejecutado el archivo muestra una serie de cajas de diálogo siendo la primera:

la segunda muestra:

Intro
Este juego solo trata de responder unas preguntas...Y si se aciertan todas...Pues ustd se llevará el premio xDDD. Pulse aceptar

la tercera:

Final..
Ya casi estamos listos para empezar si ustd lo está pulse aceptar ...

cuarta:

Te jodes y cayao
Ahora por tonto contemos hasta cincuenta porque a mi me da la GANA!!! QUE PAISA?

quinta:

Y toma y dale y mas de lo mismo xDDD
Todos Juntos :> <dígitos>etc.

por último muestra una cadena de texto que ocupa toda la pantalla:

Pulse CONTROL + 0 + 8 + N + 6 PARA PASAR VER LAS FOTOS SIGUIENTES...

Luego el gusano se auto-copia copia a la carpeta %System% con los nombres:

SVCHOS1.PIF (copia del gusano)
PAULA.PIF (copia del gusano)
COMMAND.PIF (descarga el archivo MSVBVM60.DLL)
M.ZIP (copia del gusano en formato ZIP)
SW.EXE (copia del gusano a ser enviada a través de mensajes de correo)
SX.EXE (copia del gusano a ser enviada a través de mensajes de correo)
SZ.EXE (copia del gusano a ser enviada a través de mensajes de correo)
SS.EXE

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Svchos1" = "%System%\svchos1.pif"

Borra los archivos con las siguientes extensiones:

.asm
.asp
.bdsproj
.bmp
.c
.cpp
.cs
.csproj
.css
.doc
.dpr
.frm
.gif
.h
.htm
.html
.iso
.jpeg
.jpg
.mdb
.mp3
.nfm
.nrg
.pas
.pcx
.pdf
.php
.ppt
.rar
.rc
.rc2
.reg
.resx
.rpt
.sln
.txt
.vb
.vbp
.vbproj
.wav
.xls

Copia a las unidades C:\, D:\, E:\, y F:\ los archivos:

codm
extasis8.pif
inzae.pif
ph003.pif
rd2_roberto.pif
simbolic3.pif
sin_mas_menos.pif

PER ANTIVIRUS® versiones 8.9 y 9.0 con registro de virus al 24 de Noviembre del 2004 detectan y eliminan eficientemente este gusano y sus variantes.