Al leer el mensaje, el gusano se activa y auto-copia al directorio de Windows como OsamaBinLaden.vbs y ejecuta este Visual Basic Script, el cual liberará tres archivos ejecutables en la carpeta de Windows: osama.exe, laden.exe y alta.exe.
|
VBS/Nedal@MM, W32/Laden@MM
Nedal (Laden al revés) es un gusano reportado el 11 de Septiembre del 2002, de gran difusión masiva que se propaga a través de mensajes de correo electrónico, sin ningún archivo anexado. El código viral está contenido dentro del mensaje, en formato HTML y VBS. Infecta además a través del Chat y borra archivos del directorio de Windows y de las carpetas de Mis Documentos y Desktop, entre otros de sus efectos nocivos.
Este gusano infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que el sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook en un mensaje de correo:
Al leer el mensaje, el gusano se activa y auto-copia al
directorio de Windows como OsamaBinLaden.vbs y
ejecuta este Visual Basic Script, el cual liberará tres archivos ejecutables en
la carpeta de Windows: osama.exe, laden.exe
y alta.exe.
Laden.exe, es un troyano de 4.5 KB, comprimido con el UPX y que genera la siguiente llave de registro:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Laden = "Laden.exe"
Al ejecutarse Laden.exe, muestra esta caja de diálogo:
Laden.exe también liberará en la raíz de la unidad C:\ el archivo Laden.bat, el cual procederá a borrar todos los archivos de la carpeta del sistema de Windows.
Osama.exe, es un virus desarrollado en Borland C, de 17 KB que sobre-escribe todos los archivos del sistema que tengan extensión .EXE.
Alta.exe es un troyano de 5 KB, también comprimido con el UPX y que genera la siguiente llave:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
AltaWorm = "alta.exe"
Al ejecutarse Alta.exe, muestra una caja de diálogo y apagará el equipo la próxima vez que se inicie el sistema:
El gusano también crea el archivo C:\OsamaLaden.bat que al ser ejecutado sobre-escribirá los archivos con extensión .TXT, .XLS, .DOC, .EXE, .RTF, .CAB, .COM, .AVI, .GIF, .BMP, .JPG, .JPEG, .TIF y .BAT en las carpetas C:\Mis Documentos y en C:\Windows\Desktop y crea la siguiente llave de registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
OsamaBinLaden = "OsamaLaden.bat"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
OsamaLaden = "OsamaLaden.bat"
Nedal también verificará si el archivo mirc32.exe
del software mIRC se
encuentra instalado y si lo encuentra sobre-escribe el SCRIPT.INI
para poder auto-enviar el archivo infectado OsamaBinLanden.vbs a
los usuarios que estén conectados a una misma sesión de Chat.
Luego verifica si el archivo pirch32.exe del software
pIRCH
está instalado y de encontrarlo crea un archivo EVENTS.INI,
el cual usará para enviar el archivo infectado OsamaBinLanden.vbs a
los usuarios que estén conectados a una misma sesión de Chat.
También muestra esta caja de diálogo:
Dentro de su código viral se puede leer:
VBS.OsamaLaden@mm
Create By Vladimor Chamlkovic & Nur Mohammad Kamil
11 September 2002, Wednesday, 2:22p.m.
<--- Allah is The One! --->
<--- Allah Bless you Osama and all people in the world including me! --->
