I-Worm.Irina, W32/Irina@MM, Toget@MM

Irina, es un gusano reportado el 08 de Enero del 2002, con una gran capacidad de propagación masiva ya que además de auto-enviarse a toda la libreta de direcciones de MS Outlook, para lograr una eficiente infección, deshabilita la mayoría de software Antivirus en servidores, estaciones de trabajo, equipos individuales y PC domésticas.

Este gusano desarrollado en Visual Basic 6.0, con 9k de extensión, posiblemente haya sido creado por algún miembro del grupo de adolescentes israelíes, liderados por el autodenominado Zohar, que a principios del mes Diciembre del 2001 propagaron el gusano Goner, siendo rápidamente rastreados y descubiertos, pero debido a sus edades que fluctuaban entre los 15 y 16 años, fueron liberados:

http://www.wired.com/news/technology/0,1282,48969,00.html

Irina es un clásico archivo con formato PE (Portable Ejecutable) y debido a ello, infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Para dificultar su detección y posterior eliminación por parte de los Antivirus Irina ha sido comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Se propaga a través de mensajes de correo con un archivo anexado, con sugerente nombre alusivo a un gráfico de desnudos, de nombre NUDEPIC.JPG.EXE, que tiene doble extensión. Asimismo el asunto y texto del mensaje están relacionados a temas eróticos. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo de efecto multiplicador:

Si el archivo anexado es ejecutado, inmediatamente el gusano deshabilitará la mayoría de software antivirus instalados en el equipo infectado. Par lograr este objetivo el gusano hace una búsqueda de los siguientes procesos en memoria dinámica:

Si cualquiera de los procesos antes mencionados es encontrado, los terminará o cerrará y con el objeto de activar su código viral la próxima vez que se inicie Windows modificará las siguientes llaves del registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
*Command=command.com /c copy /y c:\Windows\Data.dat c:\WINDOWS\SYSTEM32\scanregx.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
*Ruckenbrod=c:\Recycled\pga\Irina4ever.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Vshwin32EXE=c:\WINDOWS\SYSTEM32\scanregx.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
*Irina=c:\Recycled\Irina.exe

Adicionalmente con el propósito de alterar el fondo del Escritorio (Desktop) de Windows, lugar donde normalmente se muestran los íconos de acceso directo a los programas del sistema y la barra de tareas, modificará las siguientes llaves del registro:

[HKEY_CURRENT_USER\Control Panel\Desktop]
wallpaper=c:\WINDOWS\wallpaper.html

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
BackupWallpaper=c:\WINDOWS\wallpaper.html

Como consecuencia de estas modificaciones, se mostrará en el fondo de la pantalla del Escritorio de Windows, el siguiente texto:

I want a girl with big buttocks, like Irina... (quiero una chica con grandes nalgas, como Irina...)

El gusano además se autocopiará en las siguientes carpetas: 

C:\Windows\Data.dat

C:\Windows\Favorites\Nude.scr

C:\Windows\Start Menu\Programs\StartUp\MenuDe.exe

C:\Windows\Temp\Irina.exe

Dentro del cuerpo de su código viral se lee:

"Go and get an antivirus.." D I-Worm.IrinaMcclingker (01/01/2k2)

Su payload principal es saturar los servidores de correo, LAN, estaciones de trabajo y PC domésticas.