|
BAT.JERM@MM, VBS.JERM@MM, IRC.JERM@MM
Jerm es un
gusano modular con 3 componentes, de programación muy sofisticada, con una extensión de apenas 2 KB, reportado el 18 de Junio del 2002, de gran propagación masiva a través de mensajes de correo electrónico y el canal de Chat IRC (Internet Chat Relay), que se difunde con el archivo anexado UpgradeToWindowsXP.bat, simulando ser una actualización al sistema operativo Windows XP:Este gusano ha sido desarrollado en lenguaje Visual Basic 6.0 y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Es un archivo de formato PE (Portable Ejecutable), por lo cual infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Al ejecutarse el archivo el gusano se copia a la carpeta C:\Windows\UpgradeToWindowsXP.bat
y sobrescribe su código viral en el archivo .INI
del software mIRC de
Chat, en
la carpeta C:\mIRC\script.ini.
Luego crea una carpeta XP con los atributos
de "solo lectura" y "oculto", en el directorio raíz de C:\
y se auto-copia a ese directorio recién creado, como XP.BAT,
con atributo normal.
El gusano crea un archivo de registro en la carpeta C:\XPUpdate.reg,
con atributo normal y para ejecutarse la próxima vez que se inicie el sistema
crea la siguiente llave en el registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
PX = c:\\xp\\xp.bat
Jerm tiene los siguientes payloads:
a) Sobre escribe todos los archivos .DAT del antivirus ViruScan de McAfee ubicada en la carpeta C:\progra~1\mcafee\mcafee~1\*.dat y crea un código viral Visual Basic Script en el directorio raíz C:\X.VBS con el atributo "oculto" del sistema.
b) Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, Jerm se auto-envía masivamente a todos los buzones de la libreta de direcciones de MS Outlook, con un efecto multiplicador.
c) El archivo .vbs agrega la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
XXP = c:\\xp\\xp.bat
El IRC (Internet Relay
Chat) es un protocolo desarrollado para permitir la
comunicación entre usuarios en "tiempo real',
haciendo uso de software llamados "clientes IRC" (tales como el mIRC,
pIRCh, Microsoft Chat, etc.).
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI infectado a todas las personas conectadas a la misma sesión del canal de chat, además de otras instrucciones dentro de un Visual Basic Script.
d) El gusano abre el navegador Internet Explorer y se conecta a la dirección:
http://www.yahooka.com el portal de la "marihuana" en Internet.
e) Finalmente, ejecuta continuos comandos "ping" a http://www.hotmail.com intentado saturar el tráfico de Internet.
PER ANTIVIRUS
® versión 7.5 actualizado al 18 de Junio del 2002, detecta y elimina eficientemente este gusano.
