Moe.B, gusano de propagación masiva, con nombres, asuntos y anexados aleatorios.  

© Jorge Machado  Lima-Perú

Win32/Moe.B@MM, Moe.B@MM,  W32/Onamu.B, I-Worm.Desos.b

Moe.B es un gusano reportado el 05 de Agosto del 2002, de propagación masiva vía correo electrónico, de programación sofisticada similar a su primera versión Moe, pero que ahora tiene la capacidad de auto-enviarse masivamente a los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook usando comandos SMTP.

Tanto el Remitente, el Asunto, Contenido y el archivo anexado del mensaje mediante el cual se propaga, es el resultado de la combinación aleatoria de cualquiera de los nombres y frases contenidas dentro su código:

Primer nombre:

Mario, Enzo, Nadia, Gabriel, Federico, Andrea, Laura, Patricia, Osvaldo, Sofia, Sandra, Javier, Cristina, Pablo, Cecilia, Ariel, Silvia, Emilio, Flavia, Jorge.

Inicial del segundo nombre:

E., M., O., R., T., A., H., P., L.

Apellido:

Macchi, Rizzo, Rodrigue, Narvaez, Mosquera, Montagna, Miranda, Armitano, Kohan, Lewin, Machado, Miller, Ibarra, Gutierrez, Castro, Godoy, Ferreira, Ferrer, Chiappe, Chiesa

Una vez completado el nombre, le sigue una dirección de correo elegido de cualquiera de las siguientes:

aldu5n_02@yahoo.com, mor8l_88@netscape.com, lime@illusive.org, lemax7@compuserve.com, xnto_678@hotmail.com, lecs2462@yahoo.com, 4588bell@netscape.com, vvgro55@illusive.org, 4653_trey@compuserve.com, wer937@hotmail.com

Comentario: la posibilidad de combinar el nombre del autor de este boletín, Jorge E. Machado, escapa a su responsabilidad. 

Asunto:

 Seduccion
Humano
Musica
Mujer
Hombre
Confesion
Infidelidad
Belleza
Relaciones casuales
Tus deseos
Mi secreto
La clave
Enojo
Perdon
Responde!
Cita
Papelon
Renuncio
Monstruo
Joven

Cuerpo del mensaje:

Cap.3 El arte de provocar.
El Ser Humano que pudiste ser.
Esta es la musica que te prometi.
La mujer mas bella...
Un hombre entero.
Ya sabes que fui yo?.
Las imagenes de tu infidelidad.
No estas conforme con tu apariencia?
Esta es la lista para esta semana.
Si te conforman, puedo enviar mas.
Recorda tu promesa!
No la vuelvas a perder, no abuses.
Cuando veas esto, se te pasa.
Crei que ya lo habia enviado.
Nunca respondiste. No seas cruel.
Me gusto lo que enviaste. Si te gusta, arreglamos.
Te dije que es demasiado gorda. Mira!
No puedo mejorarlo, ya es perfecto.
Ahora te creo. Pobre mujer!
Disculpa, sos demasiado joven para mi.

Archivo anexado:

 s_CAP3.EXE
HUMANO.EXE
MUSIC.EXE
MUJER.EXE
HOMBRE.EXE,
CONFESION.EXE
INFIEL.EXE
BELLEZA.EXE
LISTArc.EXE
DESEOS.EXE
SECRETO.EXE
CLAVE.EXE
YO.EXE
FEOS.EXE
PASION.EXE
CITA2.EXE
GORDA.EXE
CUERPO.EXE
MONSTRUO.EXE
JOVEN.EXE

 

Cuando el destinatario ejecuta el archivo anexado, el infector se copia a la carpeta C:\Windows o C:\WinNT, con un nombre de 5 caracteres aleatorios y la extensión .EXE que es generado desde esta cadena:

leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

legin.exe
olaso.exe
Peyeg.exe
uiEsm.exe
tpeg.exe
LAdkl.exe
itygh.exe
bcxs.exe
skal.exe
Bxvqe.exe

Al encontrar cualquiera de estos archivos auto-generados, lo ejecuta. Luego busca en las carpetas C:\Windows y C:\Windows\System los archivos con extensión .EXE o .SCR e infecta exactamente 3 archivos en cada carpeta. La modalidad de infección consiste en incrementar la extensión del archivo e insertar su código en la parte final del mismo.

Si la fecha es 28 de Marzo, Junio, Septiembre o Diciembre, el gusano ejecuta su payload mostrando una caja de diálogo que relampaguea, como un efecto Flash, hasta que la computadora sea reiniciada o la fecha del día sea cambiada:


Después que este proceso de infección finaliza, se ejecuta el siguiente accionar del gusano, el cual verifica si ya existe en la carpeta C:\Windows los archivos .EXE auto-generados de la cadena previa:

leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

Para asegurarse de ser ejecutado, la próxima vez que se inicie Windows, el gusano agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
C:\%Windir%\%filename% con el valor C:\%Windir%\%filename%

%Windir% es el directorio de Windows y el archivo %filename% es el nombre auto-generado desde la cadena.

Si el gusano no es ejecutado desde el directorio de Windows, entonces mostrará esta caja de diálogo:

El gusano captura las configuraciones SMTP (Simple Mail Transfer Protocol) del registro del sistema infectado y busca las direcciones de correo en los archivos *.ht* (HTM, HTML, SHTML) de las carpetas temporales y si las encuentra, se auto-enviará a esos buzones de correo en el mismo formato que inicialmente llegó al equipo que infectó.

El componente del gusano no enviará mensajes de correo si no encuentra una conexión a Internet disponible, pero de hacerlo lo hará en un máximo de 12 mensajes y para controlar ese envío crea una llave de registro en: 

[HKEY_LOCAL_MACHINE\Software]

la misma que será usada para marcar los tiempos en los cuales envía los mensajes.

PER ANTIVIRUS® versión 7.6 con registro de virus al 05 de Agosto del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS