|
MEXER.E, gusano de redes P2P KaZaa e iMesh se envía además en forma
masiva en mensajes de correo.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Mexer.E@mm,
W32/Ruby@mm
Mexer.E
es un gusano
reportado el 21 de Septiembre del 2004,
que se propaga a través de la redes Peer
to Peer KaZaa e iMesh y en mensajes de correo con Asuntos,
Contenidos y archivos Anexados aleatorios.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003 desarrollado en Visual C++ con 96 KB
de extensión y
comprimido con el utilitario FSG:
http://www.exetools.com/compressors.htm
Al ejecutar el archivo infectado, muestra
la siguiente caja de diálogo:
Los 8 caracteres numéricos son aleatorios.
Se auto-ejecuta en memoria y crea la carpeta C:\Systet
copiando
los siguientes archivos al directorio raíz de la unidad C:\
- A+ Certification Test.exe
- Borland KeyGens.exe
- BurnDvds.exe
- Cisco Certification Test.exe
- Counterstrike aim hack.exe
- Counterstrike hacks.exe
- Counter-Strike, Condition Zero - Activation Key.exe
- Crack McAfee 7.exe
- Crack Norton 3000.exe
- Diablo 2 map hack.exe
- Diablo 2 no-cd hack.exe
- Dvd Ripper.exe
- Dvd To Vcd.exe
- Easy Dvd Ripper.exe
- EBAY.exe
- EZ Dvd Ripper.exe
- icqbomber.exe
- Information.exe
- INTERNET.EXE
- MP3 encoder decoder V1.8.exe
- MSCE Certification Test.exe
- Nero Burning Rom
- Nero Burning ROM v6.3 Ultra - Enterprise edition key.exe
- Nimo Codec Pack Updater.exe
- PANDA.AVers.lusers.exe
- PANDA.lusers.exe
- PROVIDER.EXE
- Ruby13.exe
- Diablo 2 hero editor.exe
- SophosCrackAllVersion.exe
- Starcraft + Broodwar 1.10 map hack.exe
- Starcraft + Broodwar 1.10 no-cd hack.exe
- The Frozen Throne map hack.exe
- VISA.EXE
- Warcraft 3 Frozen Throne cd-cd hack.exe
- Warcraft 3 Frozen Throne map hack.exe
- Warcraft 3 map hack.exe
- Warcraft 3 no-cd hack.exe
- Warcraft 3 stat hack.exe
- Windows Nt Certification Test.exe
- XBOX X-Fer Ripper and Transfer.exe
- Xvid Codec Installer.exe
A continuación libera estos archivos de
extensión EXE:
- Crack.exe
- Keygen.exe
- Nocd.exe
- Serial.exe
los cuales antecederán a los nombres de
los siguientes copiados a esa misma carpeta:
-
Adobe Photoshop CS and ImageReady CS 8.0
-
Airport Tycoon II -
-
All Adobe Products
-
All Macromedia Products
-
All Microsoft Products
-
American Conquest -
-
Apache AH-64 Air Assault -
-
Battlefield 1942 The Road to Rome -
-
Battlefield Vietnam -
-
BitDefender
-
Bridge Baron 13
-
Command and Conquer Generals
-
Deus Ex -
-
Divx Pro 5.1
-
Doom 3 -
-
Dvd Plus
-
Dvd Wizard Pro
-
Dvd Xcopy
-
DvdCopyOne
-
DvdToVcd
-
Easy Dvd creator
-
Eonix Realm Of Hepmia -
-
Fetish Fighters -
-
Forbidden Siren -
-
Freelancer -
-
Grom -
-
Harry Potter and the Prisoner of Azkaban KeyGen and
Harry Potter und der Gefangene von Askaban
-
I Was An Atomic Mutant -
-
IGI-2 Covert Strike -
-
Impossible Creatures -
-
Ipswich Town Official Management Game -
-
Jamella
-
Kazaa all
-
Microsoft Windows XP Professional
-
Nascar Racing 2003 Season
-
Nod32
-
Norton AntiVirus 2004 Pro Activation Key &
Norton AntiVirus 2005
-
Norton Internet Security 2004 Keygen &
Norton Internet Security 2004 Pro
-
Norton Internet Security 2005 Pro
-
Office XP Universal
-
Private Nurse -
-
Robot Arena Design And Destroy -
-
Serious Sam - Gold Edition -
-
Shadow of Memories -
-
Shrek 2
-
Sim City 4 -
-
Slot City 3
-
Spellforce - Breath of Winter
-
Spider-Man 2
-
Symantec Antivirus 2005
-
Symantec Internet Secutiy 2005
-
Test Drive -
-
The Campaigns of La Grande Armee -
-
The Emperors Mahjong -
-
Tom Clancys Splinter Cell -
-
Tombstone 1882 -
-
Unreal II The Awakening -
-
WinACE
-
Windows Server 2003
-
WinRAR 3
-
WinZIP 9
-
World Of Outlaws Sprint Car Racing 2002 -
-
Zone Alarm 5.0 pro
Por ejemplo:
-
Test Drive - Crack.exe
-
Slot City 3 Serial.exe
Para ejecutarse la próxima vez que se
re-inicie el sistema crea la siguiente llave:
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run]
"Ruby13" = "%Raíz%\sysnet\Ruby13.exe"
Para propagarse vía las redes Peer
to Peer Kazaa e Imesh, crea las siguientes llaves
de registro:
[
HKEY_CURRENT_USER\Software\iMesh\
Client\LocalContent]
"dir0" = "012345:c:\sysnet\"
[
HKEY_CURRENT_USER\Software\Kazaa\Transfer]
"dir0" = "012345:c:\sysnet\"
[
HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"dir0" = "012345:c:\sysnet\"
Posteriormente el gusano extrae direcciones
de correo en archivos con extensiones:
- dbx
- doc
- htm
- rtf
- sht
- txt
- wab
Evita capturar aquellas que tengan las
siguientes cadenas:
-
admi
-
host
-
kasp
-
micr
-
newv
-
root
-
supp
-
viru
-
webm
Usando su propio SMTP
(Simple Mail Transfer Protocol) se auto-envía
a las direcciones de correo extraídas en el sistema infectado, anexando los
archivos almacenados en la carpeta C:\Systet
con mensajes de las siguientes características:
- Asunto: EBAY Information
Contenido: EBAY Installer...
- Asunto: VISA Information
Contenido: Security Tool...
- Asunto: Provider Information
Contenido: New account data...
- Asunto: Your Crack1
Contenido: Here is your crack!
- Asunto: Internet Information
Contenido: New account data...
Anexado: cualquiera de los archivos almacenados en la carpeta Systet.
Los payloads
de este gusano son los siguientes:
- Se propaga a través de las redes P2P
KaZaa e iMesh.
- Muestra en pantalla una falsa caja de
diálogo y se ejecuta en memoria.
- Extrae las direcciones de correo de
archivos de determinadas extensiones.
- Omite aquellos con ciertas cadenas.
- Se propaga a través de mensajes de
correo con Asuntos, Contenidos y archivos Anexados aleatorios
previamente copiados a una determinada carpeta en el directorio raíz.
PER ANTIVIRUS®
versiones 8.8 y 8.9 con registro de virus al 21 de
Septiembre
del 2004 detectan y eliminan eficientemente este
gusano.
