Israz

ISRAZ, gusano infecta masivamente vía Correo y Kazaa. Cambia toda las direcciones URL por una de Israel.

W32/Israz@mm, I.worm.Israz@mm

Israz es un gusano reportado el 11 de Julio del 2003, de alta propagación masiva a través de mensajes de correo con 6 formatos de Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria. Se difunde además vía la red Peer to Peer Kazaa.

Los archivos anexados liberan 2 componentes principales, los cuales contienen una librería SMTP, copias del gusano y de sus archivos de propagación.

El gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual Basic 6.0, tiene 144 KB de extensión. No se encuentra comprimido.

Haciendo uso de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.

La muestra obtenida fue enviada desde España (+2 GMT)

Los mensajes tienen las siguientes características:

Formato 1
Remitente : update@microsoft.com
Asunto: Windows Update
Contenido:
Your file is attached to message.
For more information go to Windows Update http://windowsupdate.microsoft.com
Anexado: Update.exe

Formato 2
Remitente : update@microsoft.com
Asunto: PS1
Contenido:
Your file is attached to message.
For more information go to Windows Update http://windowsupdate.microsoft.com
Anexado: Q322593.exe

Formato 3
Remitente : update@microsoft.com
Asunto: Update Your ToolBar
Contenido:
Your file is attached to message.
For more information go to Windows Update http://www.google.com
Anexado: ToolBar.exe

Formato 4
Remitente : help@google.com
Asunto: Auto Search Wizard
Contenido:
Your file is attached to message.
For more information go to Google home page http://www.google.com
Anexado: Wizard.exe

Formato 5
Remitente : copyright@yahoo-inc.com
Asunto: Yahoo FAQ
Contenido:
Your file is attached to message.
For more information go to Yahoo home page http://www.yahoo.com
Anexado: FAQ.exe

Formato 6
Remitente : copyright@yahoo-inc.com
Asunto: Support For Search
Contenido:
Your file is attached to message.
For more information go to Yahoo home page http://www.yahoo.com
Anexado: Support.exe

Al ejecutar el archivo el gusano libera 2 componentes, que contienen varios archivos, los mismos que serán auto- copiados a las carpetas %System% y %TempDir%, con los siguientes nombres:

%System%\ossmtp.dll (librería SMTP usada para el envío de mensajes)
%System%\vUser.exe
%System%\vShell.exe (copia del gusano)
%System%\Win32.exe (copia del gusano)
%TempDir%\faq.exe (copia del archivo de propagación del gusano)
%TempDir%\fun.exe
%TempDir%\support.exe (copia del archivo de propagación del gusano)
%TempDir%\toolbar.exe (copia del archivo de propagación del gusano)
%TempDir%\update.exe (copia del archivo de propagación del gusano)
%TempDir%\wizard.exe (copia del archivo de propagación del gusano)
%TempDir%\q322593.exe (copia del archivo de propagación del gusano)

Para ejecutarse la próxima vez que se inicie el sistema, modifica la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32" = "%System%\Win32.exe"

Tambien crea las siguientes llaves para que la copia del gusano vShell.exe sea ejecutada cada vez que se abre un archivo con extensión .TXT:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"default" = "%System%\vShell.exe %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
"default" = "%System%\vShell.exe %1"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%TempDir% es una carpeta temporal dentro del directorio de Windows.

Al siguiente re-inicio el gusano trata de deshabilitar el antivirus Norton y otros programas similares, pero debido a un error en su codificación este proceso no es ejecutado con eficiencia.

Para infectar vía Kazaa, el gusano se auto-copia la carpeta \KaZaA\My Shared Folder con los siguientes nombres:

XP Keys.exe
OfficeXP Keys.exe
NAV_2003 Crack.exe
Doom_3 Crack.exe
GTA Vice City Crack.exe

El gusano busca en todas las unidades de disco las direcciones web y reemplaza sus enlaces con una de las siguientes ubicadas en Israel:

http://www.ynet.co.il
http://www.tapuz.co.il
http://www.nana.co.il
http://www.msn.co.il
http://www.walla.co.il

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, con 6 formatos de Correo elegidos aleatoriamente.
Usa Remitentes falsos de @microsoft.com, @google.com y @yahoo.com
También usa Remitentes extraídos de la Libreta de Direcciones de MS Outlook.
Infecta a través de la red Kazaa.
El gusano se ejecuta cada vez que se abre un archivo de texto.
Busca las direcciones web contenidas en todas las unidades de disco y las reemplaza por un URL elegido aleatoriamente entre 5 direcciones ubicadas en Israel.
Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

PER ANTIVIRUS® versión 8.1 con registro de virus al 11 de Julio del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)