Recovery

RECOVERY, infecta vía Correo, Chat y Kazaa, trunca archivo del sistema.

W32/Recovery@mm/I-worm.Recovery@mm

Recovery es un gusano destructivo, reportado el 1o de Enero del 2003 de alta propagación masiva vía mensajes de correo con diversos asuntos, archivos anexados aleatorios y un mismo contenido. También se difunde a través del IRC (Internet Chat Relay) y de Kazaa simulando ser una herramienta de Norton Antivirus. Sobre-escribe el archivo de sistema Jdbgmgr.exe, dejándolo inutilizable.

Está desarrollado en Visual C++, con una extensión de 19.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Asunto, uno de los siguientes:

Microsoft Support
Fwd: Computer Virus fix Tool
Fwd: Computer Virus Alert
Fwd: Latest News
Fw: Important
Fwd: Latest Computer Virus outbreak
Fwd: Damaged Software information
Fwd: Urgent inforation
Email Security Update
Fw: Serious Alert
From helpdesk support
Fw: Read this
Free support
Technical support
Fw: Client support
Security update
Software patch
Microsoft news
Fwd: Software alert
Important information
Fwd: Help on Computer issue
Fw: High-threat computer virus fix
Fwd: Computer issues
Fwd: Severe virus alert
Software support
Fw: Attention users
Fwd: Email virus alert
High-risk computer virus removal
Fwd: Attention employees

Archivo anexado, uno de los siguientes:

Fixvir.exe
Fixtool.exe
Remove32.com
Virusremove.pif
Cleanvir.pif
Recovery.exe
Scan32.pif
Cleaner.pif
Cleanvirus.com
Removal.exe
Deletevir.com
Scanvir.pif
Killvirus.com
Killvir.com
Virusfix.exe
Fixvirus.com
Fixvir.pif

Contenido, el del mensaje reproducido a continuación:

Al ejecutar el archivo anexado, el gusano se auto-copia a las carpetas %Windir% y %System% con los siguientes nombres:

%Windir%\Autotest.com
%Windir%\Jdbgmgr.exe
%Windir%\Windows Startup.pif
%Windir%\Uninstall32.pif
%Windir%\Security.pif
%Windir%\Compile32.pif
%Windir%\Startwin.com
%Windir%\Winboot32.com
%System%\Msdos32.pif
%System%\Autoexec32.bat
%System%\Cleanvir.pif
%System%\Jdbgmgr.exe
%Temp%\Jdbgmgr.exe

La copia del gusano Jdbgmgr.exe sobre-escribe el archivo del mismo nombre, ubicado en la carpeta del sistema de Windows.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

También se auto-copia en la carpeta de Inicio, con el nombre de Systray.pif, la cual es ejecutada cada vez que se inicia el sistema.

Asimismo, para ejecutarse la próxima vez que se inicie el sistema el gusano crea y modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Msdos32 = %System%\msdos32.pif

[HKEY_CURRENT_USER\Software\Zed/[rRlf]]
Default = "W32/Recovery family worm by Zed/[rRlf]"

Finalmente el gusano se auto-copia a los archivos contenidos en las carpetas del ICQ y Kazaa, para que pueda infectar a los usuarios que se conecten a una misma sesión de Chat o compartan archivos en la popular red con los siguientes nombres:

Norton AntiVirus Quick Downloader - www.symantec.com
Windows Logon Password Cracker.pif
The Sims patch.pif
Erotic Poetry.pif
How to hack www.google.com
How to hack websites.pif
How to make a virus.pif
Readme.pif
User Information.pif
Virtual Sex ScreenSaver.scr
Computer Virus Generator.pif
Nature ScreenSaver.scr
Dancing Girls ScreenSaver.scr
Lord Of The Rings 2 Fast Downloader.pif
FixTool.exe
Microsoft Product Serial List.pif
NFS Car Builder.pif
Red Alert 2 Money Cheat.pif
WarCraft 2 - Advanced Level Builder.com
KaZaA Download Booster.exe
KaZaA Bug Fix.exe
Type-and-talk.pif

Los payloads de este gusano son:

Infecta masivamente vía correo a los buzones de la Libreta de Direcciones de MS Outlook.
Sobre-escribe el archivo de sistema Jdbgmgr.exe, dejándolo inutilizable.
Infecta a través de la red Kazaa y de sesiones de Chat.

PER ANTIVIRUS® versión 7.8 con registro de virus al 1o de Enero del 2003 detecta y elimina eficientemente este gusano.