W32/Oror.Q@MM, I-worm.Oror.Q

Oror.Q es un gusano destructivo, variante de la familia Oror, de compleja programación, reportado el 24 de Enero del 2003, de alta propagación masiva a través de un mensaje de correo con diversos Remitentes, Asuntos y archivos anexados, todos elegidos aleatoriamente y con diversas combinaciones. 

El contenido tiene un formato HTML oculto, e infecta con tan solo visualizar el mensaje al vulnerar el MIME exploit que ejecuta el archivo si el usuario tiene configurado su software de correo con la opción de Vista Previa. También se difunde vía el IRC (Internet Chat Relay), si el usuario tiene instalado el software mIRC.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Ha sido desarrollado en lenguaje Visual C++, tiene 148 KB de extensión promedio y sus mensajes tienen las siguientes características:

Los mensajes de correo tienen una diversidad de formatos, contenidos en el código del gusano: 

El campo De: es el resultado de la combinación de uno de los siguientes nombres: 

blue16, tweety, alice, jane17, badboy, rap_girl, CrazyGirl, happy, amanda, crazy, mickey, lady_f, alex15, sunny, dave, panda_f, dreamy, candy_f, bryan16, jerry, baby_17, neo, trish1, linda17, monica, nicole, angel_f, mellany,iguana17, blade, badgirl, wizzard.

seguido de uno de estos dominios de correo:

@hotmail.com, @yahoo.com, @mail.com, @yahoo.co.uk, @usa.net, @europe.com, @aol.com  

El Asunto 1: es seleccionado de uno de las siguientes palabras o frases:

• HeY
• ZzZz
• Bla Bla
• HoWie
• Happy
• Hi Again
• Wow
• Just A Letter
• Hello
• Hey Ya
• Boom
• Hi There

El Asunto 2 es seleccionado de la misma forma:

• Zdrasti
• Zdr Otnovo
• Ohoo
• Ei
• Pisamce
• TinKi WinKy
• ZzZz
• Bla Bla
• Hey
• Privet
• Boom

(terminando con cualquiera de estas signos, que suelen emplear los creadores de virus)

• ..
• :)
• ;))
• :pP
• ~pPp
• ;)

El archivo anexado resulta de la combinación de una relación de Prefijos y Sufijos de diferentes listas:

Prefijo1:

• BoxDave_
• PcDudes
• Pamela3D_
• KamaSutra
• LaFemmeNikita
• Gipsy
• Fishfood
• install_en_
• Story017_
• Inter012_
• Actu002_
• Chess
• Angel3D_
• BabyBlue
• RedEyez
• Iguana
• mTV_Charts_

Sufijo2:

• (sHow)

• 3D

• (Eng)

• 2.3

Prefijo2:

• install_en_

• ClubExtreme

• WWF_The_ROCK

• EminemDesktop

• Inter013_

• Story015_

• Gipsy

• sound_brake_

• Elfbowl

• Goggles

• snowball_fight_

• Chess

• Angel3D_

• BabyBlue

• mTV_Charts_

Sufijo2:

• 3.3
• (zip)
• (sHow)
• 3D
• (Eng)
• _v1.1

Prefijo3:

• Prefix:
• PcDudes
• BritneyUltimate
• Pamela 3D_
• Britney Suxx
• KamaSutra
• LaFemmeNikita
• Teen Sex Cam
• Lolita
• Pam Anderson Theme
• Sexy Teens Desktop
• SexSpy
• Anal Explorer
• VirtualRape
• Hot Blondies
• Strip Kournikova

Sufijo3:

• (sHow)
• 3D
• 3.0
• (Eng)
• v4.5
• (Rated)

Prefijo4:

• cRedit_CarDs_gEn
• MeGa HACK
• Zip Password Recovery
• GTA 3 Bonus Cars(part1)_
• EminemDesktop
• DMX tHeMe
• NFS 5 Bonus Cars_
• Counter Strike 1.5 (Editor)_
• Madonna Desktop
• WinZip 8.2_
• DivX 5.5 Bundle_
• KaZaA Media Desktop v2.2_
• Serials 2K 7.2 (by SNTeam)_
• Serials2002_8.0(17.08.02)_
• Dreamweaver_MX_Update
• ACDSee
• WinAmp_3.2_Cool_
• Download Accelerator 5.5_
• Nero Burning Rom 5.7.0.1_

Sufijo4:

• 7.1 FULL
• v5.5
• (zip)
• 3.0
• (Eng)
• (Cracked)

En forma alternativa el formato de mensaje puede ser uno de los siguientes, sin perjuicio que use una de las combinaciones anteriores aleatoriamente:

De:
[aleatorio]

Asunto:
Blondinki

Contenido:
Hey :)) Kak q karash? Pomnish li me oshte :))
Nadqvam se che da. Baq vreme ne sme sa chuvali..
Neshto novo ima li? Namerih edna mnoo qka programka
i neznam zashto, no mi napomni za teb :))

Kakvo pravi blondinka kato rodi bliznaci? - Chudi se koi e vtoriq tatko :)
Kakva e razlikata mejdu 10 ovce i 3 blondinki? Otgovor: 7
Kak mojesh da razsmeesh blondinka v petak? - Kato i razkajesh vic vav vtornik :)

Kefqt li ta vicovete? Shegichka de :) Razkazva vicove na 5 minuti :))
Posmqh se za baq vreme napred :pPpP Haide bye za sega, i da pishesh :))

Adjunto:
Blondes.scr

=====================

De:
[aleatorio]

Asunto:
[aleatorio]

Contenido:
Hey, what's up :)) Where are you? Don't you chat any more?
I haven't seen you so long. I sent you a surprise, read this :))

- What do blondes wear behind their ears to attract men? Their ankles!!
- Why did god invent the female orgasm? So blondes know when to stop screwing!!
- What is a blond with hair black colored? Artificial intelligence!

Blondes forever!! :) Time off, i must go now, but i'll be very
happy if you write to me soon :) Bye bye :))

Adjunto:
Blondes.scr

=====================

De:
greetings@kefche.com

Asunto:
Preotkrii sebe si

Contenido:
Zdravei, ako si poluchil tova pismo znachi nqkoi priqtel ti go e
pratil. Celta na pismoto e da ti pomogne da razberesh koi si
vsushnost. Originalnata ideq e na Dalai Lama i tova e nein
interaktiven variant. Predi da otvorite test-a si namislete
edno jelanie, otgovorete na 5-te vuprosa i sled kato poluchite
jelanite otgovori shte poluchite edno chislo. Za da vi se izpulni
jelanieto trqbva da pratite tova pismo na tolkova priqteli. Testa
se pravi samo vednuj, poneje sled tova nqma da poluchite obektivna
ocenka.

"Za da navlezem v sveta na drugite,
purvo trqbva da budem nqsno sys sebe si" - Dalai Lama.

P.S. Tozi test e samo za lichna upotreba, i ne biva da bude
izpolzvan za kakvito i da bili komersialni celi.

Adjunto:
Faith.scr

=====================

De:
support@kefche.com

Asunto:
Kefche.com

Contenido:
Ekiput na Kefche.com ima radostta da pozdravi vsichki
fenove na Kefcheto s 1-ta godishnina ot puskaneto na site-a.

Nie se prevurnahme v nai-dobriq i poseshtavan bg site
za zabavleniq i igri. Ot samoto si nachalo Kefche.com ima
za cel da vi nosi samo i edinstveno smqh i zabava,
nadqvame se che sme postignali celite si :))

Po sluchai godishninata, ekiput ni poe iniciativata da
izprashta vsqka sedmica nai-dobrite flash-cheta i
igrichki na vsichki user-i poseshtavashti Kefche-to.

Nadqvame se da vi haresa i tova da bude samo nachaloto
na edno novo zabavlenie :))

=====================

Kefche.com Team.

Adjunto::
[aleatorio]

=====================

De:
greetings@e-cards.com

Asunto:
Explore your soul

Contenido:
Hello, if you are reading this letter, it means that a friend
of yours has sent it to you. The idea is to help you realize who
you are indeed. This is an interactive variant, based on the
original tests of Dhalai Lama, a great indian philosopher.
Before you open the test, you should make a wish. Answer to
the 5 questions honestly, after that you will recieve a number.
If you want your wish to come true you must send this letter
to that count of your friends. You can make the test only
once, because after that the results won't be real.

"If you want to enter the other's world,
you should explore your soul first" - Dhalai Lama.

P.S. This test is for personal use only, and should not
be used with commercial purposes.

Adjunto:
Faith.scr

=====================

De:
support@miamigirls.com

Asunto:
MiamiGirls.com Free Subscription

Contenido:
On the occasion of it's 3th anniversary MiamiGirls.com wants
to offer you even more pleasure than before. There are several
new promotions and if you are interested you can watch the free
demo and subsequently contact our web page. If you join now,
the first month of your membership will be free.

Thousands of hot teen pics and videos are available for you.
Image Galleries, Cumshots, LiveCams, Hot Video Chat, Erotic
Stories, XXX Lessons, Kama Sutra, Celebrities.. We provide
the best services for our members.

This site contains adult material that is unsuitable for those
under the age of 18.

=====================

www.MiamiGirls.com

Adjunto:
FreeTour.scr

=====================

De:
support@games.yahoo.com

Asunto:
Yahoo! Games

Contenido:
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.

We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.

The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.

Thank You!

We do our best to serve you.

=====================

Yahoo! Team.
www.Yahoo.com

Adjunto:
Yahoo!Baseball.scr

=====================

De:
greetings@reply.yahoo.com

Asunto:
[nombre_de_destinatario] sent you a Yahoo! Greeting

Contenido:
Surprise! You've just received a Yahoo! Greeting
De [nombre] o [nombre]@[dominio_de_correo]!

This is an interactive greeting card
and requires Flash Media Player.

Enjoy!

The Yahoo! Greetings Team.

=====================

Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com

Adjunto:
Yahoo!Winter.scr

Al ser ejecutado el archivo crea un mutex denominado "KosmatMutex". Un mutex es un programa objeto usado para permitir el acceso a un recurso compartido, mas no en forma simultánea. En este caso, el gusano lo registra como proceso de servicio y muestra al azar, uno de estos falsos mensajes de error:

Al ser activado el gusano, genera varias configuraciones de archivos en la carpeta %System%, con el resultado de la combinación de los primeros cuatro (4) caracteres del nombre del equipo, pero al revez, seguidos de una de las siguientes cadenas: 

• def
• cfg
• vxd
• dll
• sys
• a
• _ 
• 32
• 98
• Sys
• 16
• Cmd
• Lib
• Run
• Dx

Asimismo se auto-copia a la carpeta %System% con el nombre generado, resultante de la anterior combinación, con la extensión .EXE

Para activarse la siguiente vez que se inicie el sistema o cada vez que se abra cualquier archivo ejecutables, el gusano crea las siguientes llaves de registro: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"LoadProfile" = C:\%System%\powprof.dll,LoadCurrentUserProfile

[HKLM\Software\CLASSES\exefile\shell\open\command]
"default" = C:\%System%\"%1" %*. 

El gusano elige además, en forma aleatoria, un archivo de la carpeta %System% y la sobre-escribe con su código viral, agregando su referencia a la línea "run" en el archivo WIN.INI para asegurar su ejecución en el próximo inicio del sistema:

WIN.INI
[windows]
load=c:\%Windir%\%System%\archivo_aleatorio
run=c:\%Windir%\%System%\archivo_aleatorio

El gusano anulará los procesos de antivirus y firewalls y borrará los archivos que tengan la siguientes cadenas:

• panda
• avp
• kaspers
• f-prot
• f-secure
• antivir
• conseal
• lockdown
• esafe
• guard
• mcafee
• firewall
• zone & labs
• pc & cillin
• black & ice

• norton & virus

También cerrará cualquier ventana que contenga el título de cualquiera de estas cadenas:

• black

• panda

• shield

• guard

• scan

• mcafee

• nai_vs_stat

• iomon

• navap

• avp

• alarm

• f-prot

• secure

• labs

• antivir

Haciendo uso de las las librerías MAPI (Messaging Application Programming Interface) se auto-enviará a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y procederá a propagar sus infección a todas las unidades de disco de Redes compartidas.

Si el software mIRC se encuentra instalado en el sistema, el gusano creará un archivo notes.ini en la respectiva carpeta, en la cual generará un backdoor de control remoto, propagable a través del canal de Chat. 

Finalmente el archivo wincache.dll que se encuentra empaquetado con el utilitario UPX, se copiará al directorio %Windir% y será usado como un capturador de claves de acceso y monitoreará el uso del teclado y el mouse, registrando su información en un archivo de nombre syslog.dll, creado en la carpeta %System% a la cual tendrá acceso y capacidad de control remoto, el intruso que posea el Backdoor Cliente.

El parche para la vulnerabilidad MIME exploit debe ser descargado de:

Loa payloads de Oror.Q son:

• Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
• Infecta con tan solo visualizar el mensaje, sin necesidad de abrir el archivo anexado.
• Deshabilita antivirus y Firewalls, dejando totalmente vulnerables a los sistemas infectados.
• Infecta las unidades de disco de redes compartidas.
• Se propaga a través del Chat.
• Crea un Backdoor de control remoto.
• Roba claves de acceso e información digitada en el teclado.
• Monitorea la actividad del mouse.
• Toma el control vía remota del sistema infectado, incluyendo servidores. 

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 24 de Enero del 2003 detectan y eliminan eficientemente este gusano/troyano/backdoor.