Mabel

MABEL, gusano destructivo de Correo, redes Peer to Peer, MSN Messenger e ICQ trunca archivos ejecutables.

W32/Mabel@mm, Worm/Mabel, W32/Falckon.B@mm

Mabel es un destructivo sofisticado gusano reportado el 08 de Agosto del 2003, de alta propagación masiva a través de mensajes de correo con 3 formatos con Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria.

Se difunde además vía el ICQ, la mayoría de redes Peer to Peer y del MSN Messenger.

Ha sido creado en México por Falckon, miembro del grupo internacional de creadores de virus GEDZAC 2003 y la muestra fue enviada desde España (+2 GMT)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic, tiene 18.5 KB de extensión y comprimido con el utilitario ASPack:

http://www.aspack.com

Haciendo uso de las funciones de las librerías MSWINSCK.OCX (Microsoft Winsock Control) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, la Libreta Global de Windows WAB (Windows Address Book) y la Lista de Contactos de MSN Messenger.

Los mensajes tienen las siguientes características:

Formato 1
Asunto: Nuevo Virus
Contenido:
La firma de Software Antivirus Panda a alertado la presencia de un nuevo gusano
que se envía a todos los contactos de la libreta de direcciones de outlook e infecta archivos ejecutables
recomendamos instalar esta actualización para su antivirus y así estar protegido contra esta amenaza gracias
Anexado: AVUpdate.exe

Formato 2
Asunto: Actualizacion para Internet Explorer
Contenido:
El día de hoy fue descubierto una vulnerabilidad en Internet Explorer que permita la ejecución arbitraria de código
por lo que esto podría ser usado por algun código malicioso, recomendamos instalar el parche acumulativo que esta adjunto en este mensaje y evitar
la expanción de virus, gracias
Anexado: ms310703.exe

Formato 3
Asunto: Terminator 3 trailer
Contenido:
Aquí le envío el trailer de la nueva pelicula Terminator 3, esta super padre.
Anexado: trailer-T3.exe

Al ejecutar el archivo infectado, el gusano se auto-copia a la carpeta %Windir% con el nombre Mabel.exe y para activarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mabel" = "%Windir%\Mabel.exe"

Al siguiente re-inicio el gusano procede a infectar todos los archivos ejecutables de la unidad C:, y en algunos casos los encripta, dejándolos truncos.

Si existe el archivo MSWINSCK.OCX en la carpeta %System% usa la API InternetGetConnectedState para verificar la conexión a Internet y de ser así, procede a conectarse al servidor SMTP smtp.prodigy.net.mx a través del puerto 25.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

El gusano auto-envía un mensaje de correo con información confidencial de la PC infectada (fecha, hora de infección, país de la máquina, unidades de disco de la PC, dirección IP de la PC, organización registrada a la que pertenece el equipo, etc) a una dirección encriptada perteneciente al autor del virus.

Si la suma del número de mes, mas el número del día es igual a 5, mostrará la siguiente caja de diálogo:

Además realizará una de las siguientes acciones:

Windows 98 = comparte el disco duro con permisos ilimitados.
Windows XP = inicia el servicio Telnet y crea una cuenta llamada admix con permisos de administrador.
Windows NT/2000 = copia el archivo CMD.EXE al directorio de los scripts.

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas:

\KaZaA\My Shared Folder
\edonkey2000\incoming
\gnucleus\downloads
\icq\shared files
\kazaa lite\my shared folders\v
\limewire\shared
\morpheus\my shared folder
\Grokster\My Grokster

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, uno de tres formatos elegidos en forma aleatoria.
Usa remitentes de la Libreta de Direcciones de MS Outlook, WAB y MSN Messenger.
Infecta a través de la mayoría de redes de archivos compartidos Peer to Peer.
Se propaga además a través del ICQ.
En Windows 98 comparte el disco duro con permisos ilimitados.
En Windows XP inicia el servicio Telnet y crea una cuenta llamada admix con permisos de administrador.
En Windows NT/2000 copia el archivo CMD.EXE al directorio de los Scripts.
Captura y envía información confidencial del sistema vía correo al autor del virus.
Infecta todos los archivos ejecutables de la unidad C:, y en algunos casos los encripta, dejándolos truncos.
Deja inutilizable al sistema operativo.
Será necesario re-instalar Windows.

PER ANTIVIRUS® versión 8.2 con registro de virus al 08 de Agosto del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)