Redzed

REDZED, gusano nocivo infecta vía Correo, P2P deshabilita antivirus y firewalls, termina procesos de Registro.

W32/Redzed@mm, W32/Gant.D@mm, I-worm.Outsider.C@mm

Redzed es un gusano reportado el 21 de Junio del 2003, de alta propagación masiva a través de mensajes de correo elegidos de uno de 6 formatos con Asuntos, Contenidos y archivos Anexados. Se difunde además vía las redes Peer to Peer Kazaa, LimeWire, Gnucleus, Shareaza, BearShare, Edonkey, Edonkey2000, Morpheus, Grokster, WinMX y el ICQ.

Una vez ejecutado termina los procesos de antivirus, firewalls y programas de control. Asimismo extrae las Claves de Acceso almacenadas en el Cache y las envía a la dirección del hacker.

Este gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic 6.0, tiene 19 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Los mensajes tienen uno de los siguientes formatos:

Formato 1
Asunto: Some card games
Contenido:
Hello,
Try these card games (in the attachments).
Enjoy!
Anexado: Card_install.pif

Formato 2
Asunto: MP3 downloader
Contenido:
Do you like MP3's?
Check out this cool MP3 downloader!
It works well on my computer :)
Cya!
Anexado: MP3Connect.pif

Formato 3
Asunto: Modem booster
Contenido:
I had a fairly slow modem until I installed the file in the
attachments! connection go at most 2x faster :)
Anexado: ModemBooster.exe

Formato 4
Asunto: Fire ScreenSaver
Contenido:
Check out this ScreenSaver of fire!
I think that it's one of the best ScreenSavers that I have ever seen!
Cya!
Anexado: FireScreen.pif

Formato 5
Asunto: Program
Contenido:
Here is that program that you asked for yesterday.
Anexado: Winprg32.pif

Formato 6
Asunto: Password list
Contenido:
Here is that password list that you asked for about 7 days ago.
It is in the attachments as "PswdLst.pif". It also includes my computer login password, so please don't show anyone else this file.
Thanks.
Anexado: PswdLst.pif

Al hacer click en el archivo anexado, el gusano se copia como mslg32.exe en el directorio %Windir% y como Winlg32.pif en la carpeta %System%. También copia el archivo anexado del mensaje.

Para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SecureLogin" = "%Windir%\Mslg32.exe"

Para marcar a un sistema infectado el gusano agrega la siguiente llave:

[HKEY_CURRENT_USER\Software\Zed\Outsider]
"Outsider3" = "W32/Outsider.C by Zed"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado, el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de hackers:

ACKWIN32.EXE
VET32.EXE
AVPUPD.EXE
_AVP.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPMON.EXE

AVPNT.EXE

AVPTC32.EXE

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CCAPP.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFIND.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

CLAW95CF.EXE

CLAW95CT.EXE

CLEANER.EXE

CLEANER3.EXE

DV95.EXE

DV95_O.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EFINET32.EXE

ESAFE.EXE

ESPWATCH.EXE

F-AGNT95.EXE

FINDVIRU.EXE

FPROT.EXE

F-PROT.EXE

FPROT95.EXE

F-PROT95.EXE

FP-WIN.EXE

FRW.EXE

F-STOPW.EXE

IAMAPP.EXE

IAMSERV.EXE

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICMOON.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

NAVW.EXE

IOMON98.EXE

JED.EXE

JEDI.EXE

KPF.EXE

KPFW32.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LUALL.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCAN.EXE

N32SCANW.EXE

NAVAPW32.EXE

NAVLU32.EXE

NAVNT.EXE

NAVSCHED.EXE

NAVW32.EXE

NAVWNT.EXE

NISUM.EXE

NMAIN.EXE

NORMIST.EXE

NUPGRADE.EXE

NVC95.EXE

OUTPOST.EXE

PADMIN.EXE

PAVCL.EXE

PAVSCHED.EXE

PAVW.EXE

PCCWIN98.EXE

PCFWALLICON.EXE

PERSFW.EXE

RAV7.EXE

RAV7WIN.EXE

RESCUE.EXE

SAFEWEB.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SERV95.EXE

SMC.EXE

SPHINX.EXE

SWEEP95.EXE

TBSCAN.EXE

TCA.EXE

TDS2-98.EXE

TDS2-NT.EXE

VCONTROL.EXE

VET95.EXE

VET98.EXE

VETTRAY.EXE

VSCAN40.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSCAN40.EXE

VSSTAT.EXE

WEBSCAN.EXE

WEBSCANX.EXE

WFINDV32.EXE

ZAPRO.EXE

ZONEALARM.EXE

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las siguientes carpetas:

C:\Archivos de programa\KMD\
C:\Archivos de programa\Kazaa\
C:\Archivos de programa\Kazaa Lite\
C:\Archivos de programa\LimeWire\Shared
C:\Archivos de programa\Gnucleus\Downloads
C:\Archivos de programa\Gnucleus\Downloads\Incoming
C:\Archivos de programa\Shareaza\Downloads
C:\Archivos de programa\BearShare\Shared
C:\Archivos de programa\Edonkey2000\Incoming
C:\Archivos de programa\Edonkey
C:\Archivos de programa\Incoming
C:\Archivos de programa\Morpheus\
C:\Archivos de programa\Grokster\My Grokster
C:\Archivos de programa\WinMX
C:\Archivos de programa\ICQ\Shared Files
C:\Archivos de programa\My Music
C:\Archivos de programa\My Documents\My Music
C:\Archivos de programa\My Downloads

Para capturar las Claves de Acceso, el gusano graba las teclas digitadas usando las siguientes funciones API:

GetAsyncKeyState
GetKeyState
WnetEnumCachedPasswords

Luego las envía a la dirección de correo Zed_rRlf@hotmail.com con el siguiente Asunto:

Cached Passwords - [Fecha_del_Sistema_infectado]

Finalmente termina cualquier proceso en ejecución del Editor de Registros de Windows.

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, en uno de 6 diferentes formatos, con archivos Asuntos, Contenidos y archivos Anexados, elegidos aleatoriamente.
Termina los procesos de antivirus, firewalls y programas de control instalados en el sistema infectado.
Infecta a través de la mayoría de redes Peer to Peer y el ICQ.
Haciendo uso de funciones API, roba Claves de Acceso y las envía a una dirección de correo (actualmente deshabilitada).
Termina cualquier proceso en ejecución del Editor de Registros de Windows.

PER ANTIVIRUS® versión 8.1 con registro de virus al 21 de Junio del 2003 detecta y elimina eficientemente este gusano.