Neveg.C

NEVEG.C, gusano de Correo, P2P y servicios de descarga ocasiona ataques DoS a sitios de diseño web.

W32/Neveg.C, I.worm.Neveg.C@mm

Neveg.C es un gusano reportado el 18 de Agosto del 2004 de alta propagación masiva a través de mensajes de Correo con archivos Anexados elegidos en forma aleatoria.

También se propaga vía las redes de compartimiento Peer to Peer y otros servicios de Internet de descarga de archivos.

Posee su propio servidor SMTP que construye los mensajes combinando nombres o cadenas de texto contenidas en su código viral.

Ocasiona ataques de Negación de Servicio por saturación (DoS) a diversos sitios de diseño de páginas web.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 51 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usa su propio SMTP (Simple Mail Transfer Protocol) que controla las liberías MAPI (Messaging Application Programming Interface) buscando direcciones dentro de archivos con las siguientes extensiones:

hlp
xml
xls
wsh
wab
vbs
uin
txt
tbb
stm
shtm
sht
rtf
pl
php
oft
ods
nch
msg
mmf
mht
mdx
mbx
jsp
html
htm
eml
dhtm
dbx
cgi
cfg
asp
adb

El gusano evita infectar buzones de correo que tengan las siguientes cadenas:

.gbl
symant
norton
@mcaf
openbsd
freebsd
gnu.
.gov
.mil
microso
kaspers

Las direcciones serán almacenadas en el archivo setup32ea.bak creado por el gusano e instalado en la carpeta %System% para su posterior envío.

Anexado, uno de los siguientes:

office.exe
notes.exe
doom3demo.exe
resume.exe
files.exe
request.exe
info.exe
details.exe
result.exe
results.exe
install.exe
setup.exe
test.exe
google.exe
se_files.exe

Al ejecutar el archivo infectado crea el Mutex "4D36E64A-W325-121E-BFC1-080C2BE11318" para evitar ser ejecutado en memoria más de una vez.

Luego se copia a la carpeta %System% con el nombre services.exe y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

a la cual le agregará uno de los siguientes valores:

".Prog" = "%System%\services.exe"
"BuildLab" = "%System%\services.exe"
"ccApps" = "%System%\services.exe"
"FriendlyTypeName" = "%System%\services.exe"
"Microsoft Visual SourceSafe" = "%%System%\services.exe"
"RegDone" = "%%System%\services.exe"
"TEXTCONV" = "%%System%\services.exe"
"WMAudio" = "%%System%\system\services.exe"

Por ejemplo:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BuildLab" = "%System%\services.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del sistema el gusano activa sus rutinas de auto-envío masivo de mensajes de correo y se copia a las carpetas cuyas nombres tengan las siguiente cadenas:

shared files
shar
my shared folder
mule
morpheuslime
kazaa
icq
http
htdocs
ftp
download
donkey
bear
upload

Con los siguientes nombres:

XXX hardcore images.exe
Windows Sourcecode update.doc.exe
Windown Longhorn Beta Leak.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Serials.txt.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Opera 8 New!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Office 2003 Crack, Working!.exe
Matrix 3 Revolution English Subtitles.exe
KAV 5.0.exe
Kaspersky Antivirus 5.0.exe
Ahead Nero 7.exe
Adobe Photoshop 9 full.exe
ACDSee 9.exe

El gusano trata de conectarse a los siguientes portales de diseño gráfico web para ocasionar ataques DoS:

www.2rebrand.com
www.designgalaxy.net
www.designload.com
www.designload.net
www.hvr-systems.cc
www.procartoonz.com
www.real-creative.de

Sus payloads son los siguientes:

Con su propio servidor SMTP se propaga masivamente en mensajes de correo que construye combinando nombres o cadenas de texto contenidas en su código viral.
Los archivos anexados son aleatorios.
Se auto-envía a las direcciones de correo que extrae de archivos de determinadas extensiones.
Evita enviarse a direcciones con ciertas cadenas de texto.
También se propaga vía redes de compartimiento de archivos Peer to Peer y otros servicios de Internet de descarga.
Intenta ataques DoS a varios portales de diseños de páginas web.

PER ANTIVIRUS® versión 8.8 con registro de virus al 18 de Agosto del 2004 detecta y elimina eficientemente este gusano.