|
W32/Oror.AE@MM, W32/Oror.L2, I-worm.Oror.AE
Oror.AE es un gusano muy destructivo variante de la familia Oror, sin lugar a dudas uno de los mas complejos, reportado el 14 de Febrero del 2003, de alta propagación masiva a través de un mensaje de correo con diversos Remitentes, Asuntos y archivos anexados, elegidos aleatoriamente y con diversas combinaciones o con formatos definidos.
Algunos de ellos tienen un Contenido con formato HTML oculto, e infecta con tan solo visualizar el mensaje al vulnerar el MIME exploit que ejecuta el archivo si el usuario tiene configurado el software de correo con la opción de Vista Previa.
Se difunde además vía el IRC (Internet Chat Relay), infecta recursos compartidos de las unidades de red locales, vía Internet o Extranets y a través de la red Kazaa.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
Haciendo uso de las las librerías MAPI (Messaging Application Programming Interface) se auto-enviará a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.
Sus mensajes tienen las siguientes características:
Formato 1 de mensajes:
El campo De: es el resultado de la combinación de uno de los siguientes nombres:
blue16, tweety, alice, jane17, badboy, rap_girl, CrazyGirl, happy, amanda, crazy, mickey, lady_f, alex15, sunny, dave, panda_f, dreamy, candy_f, bryan16, jerry, baby_17, neo, trish1, linda17, monica, nicole, angel_f, mellany,iguana17, blade, badgirl, wizzard.
seguido de uno de estos dominios de correo:
@hotmail.com, @yahoo.com, @mail.com, @yahoo.co.uk, @usa.net, @europe.com, @aol.com
El Asunto es seleccionado de la combinación de una de las siguientes palabras o frases:
(terminando con cualquiera de estas signos, que suelen emplear los creadores de virus)
El archivo anexado resulta de la combinación de una relación de Prefijos y Sufijos de 2 diferentes listas:
Prefijo1::
Sufijo1:
Prefijo2:
Sufijo2:
Prefijo3:
Sufijo3::
Prefijo4:
Sufijo4:
En forma alternativa el formato de mensaje puede ser uno de los siguientes, sin perjuicio que use una de las combinaciones anteriores aleatoriamente:
De: aleatorio
Asunto: Blondinki
Contenido:
Hey :)) Kak q karash? Pomnish li me oshte :))
Nadqvam se che da. Baq vreme ne sme sa chuvali..
Neshto novo ima li? Namerih edna mnoo qka programka
i neznam zashto, no mi napomni za teb :))
Kakvo pravi blondinka kato rodi bliznaci? - Chudi se koi e vtoriq tatko :)
Kakva e razlikata mejdu 10 ovce i 3 blondinki? Otgovor: 7
Kak mojesh da razsmeesh blondinka v petak? - Kato i razkajesh vic vav vtornik :)
Kefqt li ta vicovete? Shegichka de :) Razkazva vicove na 5 minuti :))
Posmqh se za baq vreme napred :pPpP Haide bye za sega, i da pishesh :))
Anexado: Blondes.scr
=================
De: greetings@kefche.com
Asunto: Preotkrii sebe si
Contenido:
Zdravei, ako si poluchil tova pismo znachi nqkoi priqtel ti go e
pratil. Celta na pismoto e da ti pomogne da razberesh koi si
vsushnost. Originalnata ideq e na Dalai Lama i tova e nein
interaktiven variant. Predi da otvorite test-a si namislete
edno jelanie, otgovorete na 5-te vuprosa i sled kato poluchite
jelanite otgovori shte poluchite edno chislo. Za da vi se izpulni
jelanieto trqbva da pratite tova pismo na tolkova priqteli. Testa
se pravi samo vednuj, poneje sled tova nqma da poluchite obektivna
ocenka.
"Za da navlezem v sveta na drugite,
purvo trqbva da budem nqsno sys sebe si" - Dalai Lama.
P.S. Tozi test e samo za lichna upotreba, i ne biva da bude
izpolzvan za kakvito i da bili komersialni celi.
Anexado: Faith.exe
=================
De:
support@kefche.com
Asunto:
Kefche.com
Contenido:
Ekiput na Kefche.com ima radostta da pozdravi vsichki
fenove na Kefcheto s 1-ta godishnina ot puskaneto na site-a.
Nie se prevurnahme v nai-dobriq i poseshtavan bg site
za zabavleniq i igri. Ot samoto si nachalo Kefche.com ima
za cel da vi nosi samo i edinstveno smqh i zabava,
nadqvame se che sme postignali celite si :))
Po sluchai godishninata, ekiput ni poe iniciativata da
izprashta vsqka sedmica nai-dobrite flash-cheta i
igrichki na vsichki user-i poseshtavashti Kefche-to.
Nadqvame se da vi haresa i tova da bude samo nachaloto
na edno novo zabavlenie :))
-----------------
Kefche.com Team.
Anexado:
aleatorio
=================
De:
greetings@reply.yahoo.com
Asunto:
<nombre_de_destinatario> sent you a Yahoo! Greeting
Contenido:
Surprise! You've just received a Yahoo! Greeting
from [nombre]@[dominio_de_correo])!
This is an interactive greeting card
and requires Flash Media Player.
Enjoy!
The Yahoo! Greetings Team.
--------------------------
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
Anexado:
Yahoo!Winter.exe
=================
De:
support@winamp.com
Asunto:
WinAmp Team Presents
Contenido:
Hello, WinAmp User. WinAmp Team is proud to present our new
service for users of WinAmp. WinAmp 3.0 Final has been just
released and we believe that it will be the player you've ever
dreamed about.
We plan to start a new tradition, sending the best skin or
add-on to our users every week. This new service is free and
we hope that you would like it.
Everyone can offer us suggestions.
We do our best to serve you.
----------------
WinAmp Team.
www.WinAmp.com
Anexado:
RedEyez2_skin.exe
=================
De:
aleatorio
Asunto:
Priqteli
Contenido:
Zdravei, ako si poluchil tova pismo znachi nqkoi priqtel ti go e
pratil. Celta na pismoto e da ti pomogne da razberesh koi si
vsushnost. Originalnata ideq e na Dalai Lama i tova e nein
interaktiven variant. Predi da otvorite test-a si namislete
edno jelanie, otgovorete na 5-te vuprosa i sled kato poluchite
jelanite otgovori shte poluchite edno chislo. Za da vi se izpulni
jelanieto trqbva da pratite tova pismo na tolkova priqteli. Testa
se pravi samo vednuj, poneje sled tova nqma da poluchite obektivna
ocenka.
"Za da navlezem v sveta na drugite,
purvo trqbva da budem nqsno sys sebe si" - Dalai Lama.
P.S. Tozi test e samo za lichna upotreba, i ne biva da bude
izpolzvan za kakvito i da bili komersialni celi.
Anexado:
Friends.exe
=================
De:
support@microsoft.com
Asunto:
Microsoft Bulgaria
Contenido:
Blagodarenie na dulgogodishnite tradicii na Microsoft v Bulgaria
i dobrata i suvestna rabota na vsichki neini podchineni, mojem
nai-nakraq da pozdravim bulgarskiq potrebitel s prevod na
Internet Explorer na bulgarski.
Tova e edno uspeshno produljenie na iniciativata za prevejdane na
Ms Office 2000 ® na rodniq ni ezik. Update-a e bezplaten i e
podaruk po sluchai 10 godishninata na Microsoft v Bulgaria.
Nadqvame se bulgarskite potrebiteli da ostanat dovolni, koeto shte
bude nai-golemiq podaruk za nas.
---------------------
Microsoft, Bulgaria.
Anexado:
IE_0273_bg.exe
=================
De:
alert@computel.bg
Asunto:
Vajno
Contenido:
Panda Antivirus preduprejdava za nalichieto na nov virus
v internet, narechen W32.Roro@mm. Razprostranqva se predimno
po IRC i chrez zarazeni internet stranici. Sled zarazqvaneto
toi iztriva muzikalni failove, filmi i dokumenti.
Poradi golemiq broi zarazeni bulgari prez poslednite
nqkolko dena, Panda Antivirus zapochna razprostranenieto na
patch, koito opravq bug v Internet Explorer 5.5 i minali
versii, pozvolqvasht na stranici sas zlovredno sudurjanie
da izpulnqvat komandi vurhu posetitelite.
Druga nasha preporuka e ako ste veche zarazeni da ne
opitvate da iztriete virusa sobstvenoruchno, a samo s
antivirusna programa, poneje pri neuspeshen opit za premahvane
W32.Roro iztriva razlichni vidove failove na operacionnata
sistema.
------------------
Panda Antivirus, Bulgaria.
www.Computel.bg
Anexado:
IE55_032.exe
=================
De: aleatorio
Asunto:
Blondes Rullz
Contenido:
Hey, what's up :)) Where are you? Don't you chat any more?
I haven't seen you so long. Read this :))
- What do blondes wear behind their ears to attract men? Their ankles!!
- Why did god invent the female orgasm? So blondes know when to stop screwing!!
- What is a blond with hair black colored? Artificial intelligence!
Blondes forever!! :) Time off, i must go now, but i'll be very
happy if you write to me soon :) Bye bye :))
Attachment:
Blondes.scr
=================
De: greetings@e-cards.com
Asunto:
Reveal who you are
Contenido:
Hello, if you are reading this letter, it means that a friend
of yours has sent it to you. The idea is to help you realize who
you are indeed. This is an interactive variant, based on the
original tests of Dhalai Lama, a great indian philosopher.
Before you open the test, you should make a wish. Answer to
the 5 questions honestly, after that you will recieve a number.
If you want your wish to come true you must send this letter
to that count of your friends. You can make the test only
once, because after that the results won't be fair.
"If you want to enter the other's world,
you should explore your soul first" - Dhalai Lama.
P.S. This test is for personal use only, and should not
be used with commercial purposes.
Anexado:
Friends.exe
=================
De:
support@games.yahoo.com
Asunto:
Yahoo!Games
Contenido:
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
------------------
Yahoo! Team.
www.Yahoo.com
Anexado:
Yahoo!Baseball.exe
=================
De:
greetings@reply.yahoo.com
Asunto:
<nombre_de_destinatario> sent you a Yahoo! Greeting
Contenido:
Surprise! You've just received a Yahoo! Greeting
from <nombre_remitente@dominio_de_correo!>
This is an interactive greeting card
and requires Flash Media Player.
Enjoy!
The Yahoo! Greetings Team.
--------------------------
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
Anexado:
Yahoo!Christmas.exe
=================
De:
support@winamp.com
Asunto:
WinAmp Presents
Contenido:
Hello, WinAmp User. WinAmp Team is proud to present our new
service for users of WinAmp. WinAmp 3.0 Final has been just
released and we believe that it will be the player you've ever
dreamed about.
We plan to start a new tradition, sending the best skin or
add-on to our users every week. This new service is free and
we hope that you would like it.
Everyone can offer us suggestions.
We do our best to serve you.
----------------
WinAmp Team.
www.WinAmp.com
Anexado:
Iguana2_skin.exe
=================
De: aleatorio
Asunto:
Explore your soul
Contenido:
Hello, if you are reading this letter, it means that a friend
of yours has sent it to you. The idea is to help you realize who
you are indeed. This is an interactive variant, based on the
original tests of Dhalai Lama, a great indian philosopher.
Before you open the test, you should make a wish. Answer to
the 5 questions honestly, after that you will recieve a number.
If you want your wish to come true you must send this letter
to that count of your friends. You can make the test only
once, because after that the results won't be fair.
"If you want to enter the other's world,
you should explore your soul first" - Dhalai Lama.
P.S. This test is for personal use only, and should not
be used with commercial purposes.
Anexado:
Faith.exe
=================
De:
support@mcafee.com
Asunto:
McAfee Antivirus Monthly Report
Contenido:
McAfee Antivirus warns about several new viruses exploiting
Microsoft Internet Explorer. They register themselves as ActiveX
controls and subsequently grant access to the local resources of
the visitors. This type of internet viruses is very dangerous,
because they delete various files of the operating system.
Due to the significant increase of viruses exploiting this vulnerability,
McAfee Antivirus supports clients of Microsoft Windows with à patch, which
fixes this bug in Internet Explorer 5.5 and minor versions. Customers who
have applied this patch are already protected against the vulnerability
and do not need to take additional action.
-----------------
McAfee Antivirus
www.McAfee.com
Anexado:
IE_0276_Setup.exe
=================
De:
support@yahoo.com
Asunto:
Yahoo! Toolbar
Contenido:
Yahoo! Team is proud to present its new service
for clients of Yahoo! and Yahoo! Mail.
Yahoo! Toolbar is an innovative technology, which
helps you access Yahoo! Services easier than ever before.
It's free and is a gift for the 10th anniversary of Yahoo!.
We hope you would like it.
The whole Yahoo! Team wants to express its gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
---------------
Yahoo! Team.
www.Yahoo.com
Anexado:
Yahoo!Toolbar.exe
=================
En todos los casos los mensajes tienen formato HTML
y alguna de sus partes aprovecha la vulnerabilidad del MIME
exploit que ejecuta el archivo bajo la opción de vista previa
del software de correo MS Outlook y Outlook
Express.
Al ser ejecutado, el archivo crea un mutex denominado "DangalakMutex". Un mutex es un programa objeto usado para permitir el acceso a un recurso compartido, mas no en forma simultánea. En este caso, el gusano lo registra como proceso de servicio y muestra al azar, uno de estos falsos mensajes de error:
Luego el archivo infectado, se autocopia al directorio %Windir% con cualquier combinación de nombres, seguido de una de esta cadenas:
Para ejecutarse la próxima vez que se inicie el sistema o activarse cada vez que un archivo .EXE sea ejecutado crea las siguientes llaves de registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
LoadAgent = "Cmdt_kj16.exe powrprof.dll,LoadCurrentPwrScheme"
[HKLM\Software\CLASSES\exefile\shell\open\command]
default = "Cmdt_kj16.exe \"%1\" %*"
Genera copias de sí mismo a otras carpetas y para infectar vía la red Kazaa crea una llave de registro a la que le agrega valores tales como: Profile, System, Agent, Run, Load, Start, StartUp y Loader:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
KaZaA Loader = "C:\Archivos de programa\KaZaA\KaZaA.exe"
Igualmente elige un archivo de la carpeta %System%
y la copia con el mismo nombre, sin agregar los valores "98", " 32" o "16"
a la extensión .EXE. Este archivo es ejecutado desde la línea "run"
en el WIN.INI.
El gusano cierra cualquier ventana, título o clase que contenga cualquiera de estas cadenas relacionadas a antivirus y firewalls:
Luego busca los directorios que contengan las siguientes cadenas y de hallarlas, las remueve. Del mimso modo detiene los procesos de las mismas:
Si un software cliente de IRC (Internet Chat Relay) se encuentra instalado, el gusano crea un mIRC/backdoor, haciendo uso de cualquiera de los siguientes archivos:
Para lograr este propósito, el gusano agrega una referencia de el archivo creado al MIRC.INI existente en el sistema infectado.
El gusano elige además, en forma aleatoria, un archivo de la carpeta %System% y la sobre-escribe con su código viral, agregando su referencia a la línea "run" en el archivo WIN.INI para asegurar su ejecución en el próximo inicio del sistema:
WIN.INI
[windows]
load=c:\%Windir%\%System%\archivo_aleatorio
run=c:\%Windir%\%System%\archivo_aleatorio
El parche para la vulnerabilidad MIME exploit debe ser descargado de:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Loa payloads de Oror.AE son:
PER
ANTIVIRUS®
versión 7.9 con
registro de virus al 14 de Febrero del 2003 detecta y elimina
eficientemente este gusano.
