Ixas

IXAS, gusano de propagación masiva via Correo y su propio SMTP, infecta visualizando el mensaje.

W32/Ixas@mm, I-worm.ixas@mm

Ixas es un gusano reportado el 13 de Febrero del 2003 de alta propagación masiva, con un archivo anexado compuesto de 4 a 7 caracteres aleatorios, con extensión .EXE, con Remitente generado por el nombre de archivo infectado mas el dominio de correo delfi.lt, que corresponde a un portal ubicado en Lituania. El Asunto es elegido de una lista determinada.

Infecta con tan solo visualizar el mensaje al vulnerar el MIME exploit que ejecuta el archivo bajo la opción de vista previa.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

El gusano también posee su propio SMTP (Simple Mail Transfer Protocol) que intenta conectarse a un sitio web remoto, o responde a todos los mensajes recibidos en el sistema infectado.

Está desarrollado en Visual C++, con una extensión de 111.5 KB y comprimido con el utilitario ASPack para dificultar su desensamblaje:

http://www.aspack.com

Remitente, es el nombre del archivo aleatorio infectado, mas el dominio de correo delfi.lt.

Asunto, elegido de una de las siguientes frases:

Gift for you
Urgent NEWs
EBAY Update
Antivirus Update
Urgent Windows UPDATE
Hi, look this attcahment
Hello, please wisit this nice site

Anexado, es un nombre aleatorio, de 4 a 7 caracteres, contenidos en el código viral y con la extensión .EXE

Contenido: en blanco, que oculta un código HTML.

Al ejecutar el archivo anexado, el gusano verifica la presencia de la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\EarLG\Config]
AppName = "vacxp.exe"

El archivo ejecutable, es uno aleatorio de 4 a 7 caracteres, contenido en el código viral y que el gusano emplea como un marcador, ya que de existir esta llave, no realizará su proceso. De lo contrario creará la llave antes descrita y copiará el nombre del archivo infectado a la carpeta %System%, y para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
vacxp.exe = C:\%System%\"vacxp.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Haciendo uso de su propio SMTP (Simple Mail Transfer Protocol) responde todos los mensajes recibidos, a través de las librerías MAPI con el siguiente mensaje:

Para realizar esta acción, el gusano se propaga invocando el siguiente registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\DLLPath]

El cual tiene una ruta hacia la librería MAPI WAB32.DLL, usualmente ubicada en la carpeta %System% o la carpeta C:\Archivos de programa\Archivos comunes\System y que el gusano usa para el auto-envío de copias de sí mismo.

También crea un archivo en la carpeta %System%, con el nombre del gusano, pero sin extensión. Por ejemplo, si el archivo infectado era VACXP.EXE, el nombre del creado será VACXP.

Almacena las direcciones de correo ya enviadas con el archivo infectado, para evitar usarlas otra vez.

El parche para el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Envía un archivo infectado de nombre aleatorio de 4 a 7 caracteres.
Usa un Remitente con el nombre del archivo infectado mas el dominio de correo delfi.lt
Responde a los remitentes del sistema infectado con otro formato de correo usando su propio servidor SMTP y una librería MAPI.

PER ANTIVIRUS® versión 7.9 con registro de virus al 13 de Febrero del 2003 detecta y elimina eficientemente este gusano.