REDESI, W32.Redesi@mm, gusano con diferentes Asuntos y archivos Anexados

© Jorge Machado  Lima-Perú

Redesi, W32@Redesi, W32/Ucon@MM 

Redesi es un gusano reportado el 17 de Octubre del 2001, escrito en Visual Basic 6.0 y que no requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecta. Se propaga masivamente vía Internet, mediante el envío de mensajes de correo electrónico con archivo anexados de diferentes nombres: COMON.EXE, REDE.EXE, SI.EXE, UserConf.exe y DISK.EXE.

Haciendo uso de las funciones de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express.

El tamaño del archivo enviado es de 10,240 bytes y está dentro del PE (Portable Ejecutable). 

Su formato completo consiste en una cabecera del MS-DOS o estructura MZ, en honor a Mark Zbikowsky, seguido por un programa inocuo cuya única función es imprimir el texto "This program cannot be run in DOS mode", en caso de ser ejecutado bajo modo MS-DOS, de lo contrario continuará ejecutándose.

También contiene un identificador de archivo PE, cabecera o estructura PE y otras demás estructuras que permiten que el sistema operativo interprete el archivo ejecutable. Este formato tiene once secciones predefinidas, pero cada aplicación puede también definir sus propias secciones de código o datos. EL formato PE es vital para los archivos ejecutables Win32.

Redesi infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me/XP, incluyendo los servidores NT/2000.

El texto del mensaje es el siguiente:

Los asuntos o temas del mensaje contienen aleatoriamente diversos textos:

FW: Security Update by Microsoft.
FW: Microsoft security update.
FW: IT departments on state of HIGH ALERT.
FW: Important news from Microsoft.
FW: Stop terrorists computer viruses reign.
FW: Terrorists release computer virus.
FW: Emergency response from Microsoft Corp.
FW: Terrorist Emergency. Latest virus can wipe disk in minutes.
FW: Microsoft Update. Final Release Candidate.
FW: New computer virus. 

Al ejecutar cualquiera de los archivos anexados, se muestra la siguiente caja de diálogo con un supuesto mensaje de error:

Inmediatamente el gusano se autocopia al directorio raíz de la unidad C::

c:\common.exe
c:\disk.exe
c:\rede.exe
c:\si.exe
c:\UserConf.exe 

Luego procede a auto- enviarse a todas los buzones de la Libreta de Direcciones del los software de correo de Microsoft, con un efecto multiplicador por cada sistema infectado.                           

PER ANTIVIRUS® versión 7.1 con registro de virus al 18 de Octubre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS