|
Win32/Maldal.D, Maldal.D@MM
Maldal.D es un
a variante del gusano Reeezak, reportado el 30 de Diciembre del 2001 con una amplia capacidad de propagación masiva en Internet, debido a que tiene las características de eliminar la mayoría de software Antivirus y un popular Firewall en servidores, estaciones de trabajo, equipos individuales y PC domésticas y auto-enviar sus archivos anexados infectados, con el nombre de cada equipo que infecta.Su peligrosidad de gran propagación y efecto multiplicador se debe a que el archivo anexado jamás tendrá el mismo nombre.
Este gusano ha sido desarrollado en Visual Basic 6, tiene 27k de extensión y es un clásico archivo con formato PE (Portable Ejecutable), debido a ello infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000
Su autor, perteneciente al grupo DaylyRush, en menos de un mes ha difundido varios virus que han tenido gran connotación en todo el mundo, tales como del Goner, Zacker, Reeezak, Hallad, entre otros. Este joven auto-llamado Michael Schmidt, manifiesta tener apenas 15 años, aunque puede faltar a la verdad y sus creaciones podrían ser el resultado de un trabajo en equipo.
El grupo denominado
DaylyRush, establecido en Dinamarca, donde al parecer los creadores de virus no serían perseguidos, tiene nexos con hackers de Holanda, Francia, Hungría y el Reino Unido.Maldal.D ha sido comprimido con el utilitario ASPack, que ofrece una copia de evaluación, pero que puede ser "craqueada" para lograr que su uso sea indefinido:
Se propaga a través de mensajes de correo electrónico con un mensaje con un archivo anexado con el nombre del equipo el cual ha sido previamente infectado o con el nombre ZaCker.exe. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface). Una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo:
El contenido del mensaje puede ser elegido en forma aleatoria de cualquiera de estas frases:
Test this game
I wish u like it
I have got this file for you
Surprise !!!
download this game & have fun ;)
desktop maker ,you may need it ;)
have you ever got a gift !?
What women wants !
Don't waste any time ,Subscribe now
Make your pc funny !
new program from my fun groups
Map of the world
Create your Ecard
looooooooooooooooool
Send it to everybody you love
Its made by me ;)
Our symbol
If you have an elegant taste
Test your mind
1 + 1 = 3 !!!
Singer , searsh for any song and sing ;)
For everybody wants to marry a woman that he doesn't love !
nowadays , there is no womanhood !! :P
Just Try to fix it
Keep these advertisements run and earn 0.25 $ per 10 minute ;)
See this file
Si el archivo anexado es ejecutado, el gusano muestra un falso mensaje de error en una caja de diálogo, supuestamente para confundir o distraer al usuario que recibió el mensaje infectado y activó el archivo.
Luego se auto-copia con el nombre de win.exe en la carpeta C:\Windows\System y modifica la llave del registro de Windows en el campo RUN, al cual agrega la orden "system" que ejecutará el archivo WIN.EXE, con el objeto de cargar el código viral del gusano una segunda vez.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = C:\Windows\System\win.exe
Después de esta acción
Maldal.D
obtiene el nombre del equipo y que luego utilizará para auto-enviar los mensajes
de correo con el Asunto conteniendo este nombre. El archivo anexado también
tendrá el nombre del equipo, con la extensión .EXE,
por ejemplo micomputadora.exe. Si el
gusano es ejecutado de nuevo, renombrará el Asunto a "ZaCker"
así como también el archivo anexado, será renombrado ZaCker.exe.
Para lograr este objetivo, al igual que su primera versión, el gusano modificará la llave de registro:
[HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName]
ComputerName =
“
Su payload borrará el contenido de las carpetas de conocidos Antivirus y Firewalls:
\Program Files\AntiViral
Toolkit Pro\
\Program Files\Command Software\F-PROT95\
\eSafe\Protect\
\PC-Cillin 95\
\PC-Cillin 97\
\Program Files\Quick Heal\
\Program Files\FWIN32\
\Program Files\FindVirus\
\Toolkit\FindVirus\
\f-macro\
\Program Files\McAfeeVirusScan95\*.*
\Program Files\Norton AntiVirus\
\TBAVW95\
\VS95\
\rescue\
\Program Files\Zone Labs\
Finalmente su último payload altamente destructivo, buscará en las unidades de disco y eliminará los archivos con las siguientes extensiones .HTM, .HTML, .INI, .PHP, .EXE, .COM, .BAT, .MDB, .MPEG, .LNK, .DAT, .ZIP, .TXT, .XLS, .DOC, .JPG, dejando a los sistemas infectados, sus aplicaciones y herramientas utilitarias completamente innoperativas.
PER ANTIVIRUS® versión 7.2 con registro de virus al 31 de Diciembre del 2001 detecta y elimina eficientemente este gusano.
