W32/Redesi-H, mIRC/Redesi-H

Redesi-H es un gusano reportado el 16 de Noviembre del 2001 de propagación masiva en Internet a través de 2 modalidades: por medio de mensajes de correo electrónico y vía Chat. 

Este gusano infecta todos los sistemas operativos Microsoft Windows 98/NT/Me/2000, incluyendo los servidores NT/2000. 

Los mensajes enviados contienen 2 archivos anexados, uno de los cuales contiene un gráfico que no está infectado, pero que sirve como señuelo, con el nombre de erica.jpg. El segundo es el gusano en sí, dentro de un archivo elegido en forma aleatoria de una lista contenida dentro del código viral:

C:\erica.scr
C:\YouandMe.exe
C:\Me.pif
C:\Myself.pif
C:\myscreensaver.scr
C:\aboutme.exe
C:\you.exe
C:\together.scr

Para asegurarse de ser activado la próxima vez que se inicie Windows, Redesi-H modifica la llave del registro: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 

Una vez ejecutado se auto-envía a cada una de las direcciones de correo que encuentre en la libreta de direcciones de MS Outlook al tomar control de las funciones de las librerías MAPI (Messaging Application Programming Interface) desde el sistema infectado. Su efecto multiplicador podrá saturar fácilmente los servidores de correo.

El asunto de los mensajes es también elegido en forma aleatoria de la siguiente lista:

Can't we sort this out ?
I was wrong, I'm sorry.
I know I was a bitch
We belong together
Can't resist, thats where we went wrong.
Seaside Atmosphere.
I hear the ocean beat upon the shore outside my room.
Calling me up from sleep to listen to her gracefull tune.
It's gonna be a lovely day.
Don't ask me what I smoke. But I drink to get drunk.
I kept watching the way you move.
Two people, barely tocuhing each other.

El cuerpo del mensaje, asimismo contiene uno de los 3 siguientes textos elegidos en forma aleatoria:

Texto No. 1

"Hey baby
Sorry I was such a bitch to you.
Is there no way we can sort this out ?
The last few days have been hell without you... I miss you
I've attached a picture ... thought you might like it.
Please call me !
All my love. Erica"

Texto No. 2

"Hey darlin'
I'll be home in a few days. can't wait to see you again :)
Attached a picture we took on Sturday on Gatecrasher. Love ya
Erica =x="

Texto No. 3

"Hi sexy.
Went to Gatecrasher on Saturday, it was absoulutly brilliant !!!
here is a picture of me by the bar (as usual heh)
Be home tommorrow."

Asimismo, el gusano crea el script C:\mirc\script.ini en el caso que el usuario con el sistema infectado tenga instalado el software para comunicaciones vía Chat. Este script contiene las instrucciones para auto-enviar el gusano infectado a otros usuarios del mIRC que se encuentren conectados en una misma sesión de Chat. Esta infección tendrá un efecto multiplicador, la próxima vez que cualquier usuario con su sistema ya infectado se conecte a una nueva sesión.

El SCRIPT.INI es un archivo del software mIRC, capaz de afectar a éste y a cualquiera de los programas basados en las redes del IRC (Internet Chat Relay). Contiene comandos que permiten a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:

• Re-direccionar todos los mensajes enviados por el usuario, en forma abierta o privada a otro canal.

• Interrumpir la sesión de IRC cuando otra persona ejecute un comando determinado, 

• Permitir el acceso total al sistema del usuario afectado, a través de algún tipo de aplicación como el fserve, al enviar remotamente cualquier comando predefinido,

• Bloquear o alterar mensajes procedentes del o de los sistemas infectados.

• Enviarse en forma automática a otros usuarios.

El efecto mas peligroso de Redesi-H consiste en que al actuar como un Troyano, toma el control de todos los sistemas que infecte, incluyendo los servidores. Finalmente todos los días Viernes de cada semana, el payload final del gusano muestra en la pantalla del escritorio de Windows, la siguiente caja de diálogo:

PER ANTIVIRUS® versión 7.2 con registro de virus al 17 de Noviembre del 2001 detecta y elimina eficientemente este gusano.