Maldal.I, de alta propagación masiva, satura discos duros, desestabiliza los sistemas que infecta.  

© Jorge Machado  Lima-Perú

Win32/Maldal.I, W32.Maldal.gen@MM

Maldal.I es una variante del gusano Maldal.D, reportado el 22 de Febrero del 2002 con una amplia capacidad de propagación masiva vía mensajes de correo electrónico. Tiene la capacidad de auto-copiarse en cada carpeta del disco duro utilizando para ello el mismo nombre de cada una de ellas, saturando y desestabilizando de esta manera, los sistemas que infecta.

Este gusano ha sido desarrollado en Visual Basic 6, tiene 23k de extensión y es un clásico archivo con formato PE (Portable Ejecutable), debido a ello infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Su supuesto autor, perteneciente al grupo DaylyRush, en los últimos meses del 2001 y los primeros del 2002 ha difundido varios virus que han tenido gran connotación en todo el mundo, tales como del Goner, Zacker, Reeezak, Hallad, Maldal.D entre otros. Este joven autor llamado Michael Schmidt, manifiesta tener apenas 15 años, aunque puede faltar a la verdad y sus creaciones podrían ser el resultado de un trabajo en equipo:

http://www.dailyrush.dk/users/zacker

El grupo denominado DaylyRush, establecido en Dinamarca, donde al parecer los creadores de virus no serían perseguidos, tiene nexos con hackers de Holanda, Francia, Hungría y el Reino Unido.

Maldal.I se propaga a través de mensajes de correo electrónico sin contenido alguno, con un archivo anexado de nombre elegido en forma aleatoria de la lista de archivos que fueron creados en el disco duro, haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface). Una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo:

El asunto del mensaje es elegido en forma aleatoria de la siguiente lista: 

Fwd: Remember our survivors
Fwd: The demand of sex ... where does it lead us to?
Fwd: Say 'I Love You' in 300 languages
Fwd: WoOoOoOow
Fwd: Wow , We are the same!
Fwd: [Muzicana - Group] Download what you want
Zakia Zakaria & Najati :P
Take a picture for yourself (Don't be mad it's only a joke)
Fwd: Is there any true love?
Fwd: Have u ever seen your face?! (Funny)
Fwd: Against the power of women
Fwd: Fwd: If you care about your wife
Fwd: [*Offensive Language Removed*] OOOH Faster
Fwd: Send it to everybody you love ;)
Re: Fwd: Romantic Day
Fwd: Let's Dance and forget pains
Fwd: Loneliness
Fwd: [sex-is] HoT MoVies
Fwd: [SpanishGirlsGroup] Hola ...
Fwd: [*Offensive Language Removed*-group] Lick my <Offensive Language Removed>
Fwd: [Pussyland-egroup] How sweet
Fwd: [DrFun-egroup] Let's Laugh
Fwd: [FuNnY-egroup]Hehehehehe damn
Fwd: [*Offensive Language Removed*-egroup] <Offensive Language Removed> girl
Fwd: [Scr-News-egroup] Have you ever seen BLOOD
Fwd: [Gays-egroup] Oh Shittttt
Fwd: [Yabdoo-egroup] For HaCkers Lovers
Fwd: [Jews-egroup] Sharon Owns The World
Fwd: [FunMaiL-group] Bush under bin laden's <Offensive Language Removed>
Fwd: [Teen-egroup] Three Ways For Love
Fwd: [RomanticLife-group] Learn How To Love
Fwd: [JewsFood-egroup] Dogs Meat !!!
Fwd: [PianoMoZart-egroup] Wow Romantic
Fwd: Tonight is... The Night Of Sex
Fwd: Are you looking for FUN!!!?
Fwd: [*Offensive Language Removed*-egroup] <Offensive Language Removed> On my face :O
Fwd: [Finance-group] Do you wanna be a rich man?
Fwd: Fwd: [lovedreams-egroup] love speaks from the heart
Fwd: Change your life with Dr. Jobreee
Fwd: [TerroNews-Group] Too Late... Bin Laden has been killed
Fwd: [Pc.CLup-group] Learn how to deal with DOS
Fwd: [*Offensive Language Removed*-eGroup] Oh My God !!!
Fwd: The rights of women!!!

Maldal.I se activa únicamente si el usuario que recibe el mensaje infectado abre el archivo anexado. Una vez producida la infección, el gusano mostrará el siguiente mensaje:

Luego se auto-copiará en el sistema con los nombres:

C:\%System%\ZaCker.pif

C:\%WinDir%\ZaCker.pif

C:\%WinDir%\Hide.pif

Al mismo tiempo para poder activarse la próxima vez que se inicie el sistema creará las siguientes llaves en el registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NAV Def Alert" = "%WinDir%\ZaCker.pif"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Norton Auto-Protect" = "%WinDir%\Hide.pif"

Después de esta acción, Maldal.I se auto-copiará en cada una de las carpetas existentes en el disco duro, con el nombre de cada una de ellas y la extensión .pif. Por ejemplo, si se auto-copia en la carpeta C:\Mis Documentos, el nombre del archivo creado sería "C:\Mis Documentos\Mis Documentos.pif", causando la saturación del disco duro.

Y para lograr el mismo objetivo anterior, al activarse este gusano la próxima vez que se reinicie Windows, creará por cada archivo generado un valor el la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Por ejemplo:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows" = "C:\Windows\Windows.pif"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Mis Documentos" = "C:\Mis Documentos\Mis Documentos.pif"

y así sucesivamente, generando la inestabilidad de sistema, debido a la gran cantidad de archivos que se ejecutarán simultáneamente al reiniciar Windows.

Finalmente Maldal.I extraerá los buzones de la libreta de direcciones de MS Outlook e iniciará la búsqueda de archivos con extensión .HTM y .HTML, para extraer de ellos las direcciones de correo que éstos puedan contener para luego proceder a auto-enviarse masivamente a cada una de ellas.

Su payload final se manifestará a través del siguiente mensaje:

PER ANTIVIRUS® versión 7.3 con registro de virus al 22 de Febrero del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS