Migrate, gusano de propagación masiva por Correo, Chat y red compartida Kazaa.   

© Jorge Machado  Lima-Perú

Win32/Migrate@MM, I-worm.Migrate

Migrate, es un gusano reportado el 18 de Agosto del 2002, que se propaga masivamente en un mensaje de correo con un archivo anexado de 287.5 KB de nombre gretting.card.bat. La gran extensión de este archivo, el mismo que no está comprimido contiene una diversidad de payloads.    

Se propaga a través de la Libreta de Direcciones de Microsoft Outlook, Outlook Express, los canales de Chat que usen los software mIRC, PIRCH, etc., la red Kazzaa y el DCC (Direct Client Connection).  

 

Al ejecutar el archivo infectado el gusano se auto-copia con diferentes nombres a las siguientes carpetas:

C:\greeting.card.bat 
C:\M0.VBS 
C:\GREETS.JPG 
C:\B4.ACP 
C:\Program Files\MIRC\Script.Ini 
%Directorio actual%\g2b2r8.vbs 
%Directorio actual%\u4q3 
%Directorio actual%\f8i4 
%Directorio actual%\m0q4 
%Directorio actual%\f3 

%Directorio actual% es una variable que representa a la carpeta donde se ejecutó el archivo infectado.   

Cuando se ejecuta greeting.card.bat, crea el archivo MO.VBS que es el Visual Basic Script que auto-envía el gusano a través de la Libreta de Direcciones de MS Outlook y Outlook Express

GREETS.JPG es un archivo real con formato .JPG que se muestra en pantalla cuando se ejecuta el gusano.

B4.ACP es un archivo renombrado que modifica las llaves de registro para activar la carpeta de Kazaa:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
DisableSharing = "dword:00000000"

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
Dir0 = "012345:c:\u7n6"

Estas llaves de registro son modificadas, sin necesidad que el software Kazaa se encuentre instalado y de estarlo, los archivos creados, que están infectados podrán ser compartidos por los usuarios de la red Kazaa.

El gusano también crea esta carpeta:

C:\U7N6

Dentro de la cual el gusano se auto-copia con diferentes nombres de archivos:

animated_britney_spears_tits.gif.bat
anna_kournikova_sings.mp3.bat
natalie_portman_nude.jpg.bat
fuck_of_the_month.mpg.bat
free_vicodineES.scr.bat
starcraft_full_download.exe.bat
Kazaa.bat
morpheous.bat
the_matrix.mpg.bat
batman.bat

SCRIPT.INI es el archivo infectado que sobre-escribe al original del software mIRC, que está programado para auto-enviar copias del gusano a los usuarios que se conecten a una misma sesión de Chat. Si el sistema infectado no tiene instalada esta aplicación, el envío será truncado.

Los archivos sin extensión U4Q3, F8I4, M0Q4 y F3, contienen el código encriptado de los archivos M0.VBS, GREETS.JPG, SCRIPT.INI y B4.ACP que posteriormente son desencriptados y copiados por G2B2R8.VBS que es el Visual Basic que desencripta el código viral y que se auto-copia al directorio donde se ejecutó el gusano.

El gusano utiliza el comando DEBUG.EXE del MS-DOS, para generar la variedad de sus componentes.

PER ANTIVIRUS® versión 7.6 con registro de virus al 18 de Agosto del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS