Win32/Reeezak.A, W32/Reeezak.A@mm, W32/Maldal.c@MM

Reeezak es un gusano reportado el 19 de Diciembre del 2001, sumamente peligroso y de amplia capacidad de difusión masiva en Internet, que tiene la particular característica de eliminar la mayoría de software Antivirus y Firewalls en servidores, estaciones de trabajo, equipos individuales y PC domésticas, además de impedir la utilización del teclado y de provocar la saturación de los en los sistemas que infecta con la creación de múltiples procesos provocados durante su ejecución, lo que podría ser utilizado para una negación de servicio o ataque DoS (Denial of Service).

Se sospecha que el autor de este gusano, así como del Goner y Zacker, entre otros, es un joven danés que manifiesta llamarse Michael Schmidt, de apenas 15 años y cuya página web es:

http://www.dailyrush.dk/users/zacker

Ha sido desarrollado en Visual Basic 6.0, tiene una extensión de 36.5 Kb e infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000, provocando el mal funcionamiento de los mismos.

Se propaga a través de mensajes de correo electrónico, con el atractivo Asunto de Happy New Year (Feliz Año Nuevo) con un archivo anexado de nombre Christmas.exe que tiene el icono de una animación de Shockwave Flash, con el propósito de confundir al usuario e invitarlo a su ejecución. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y del popular software de mensajería instantánea MS Messenger, en un mensaje de correo:

Si el archivo anexado es ejecutado, se mostrará una pantalla alusiva a la Navidad, en forma repetitiva, mientas deshabilitará la funcionalidad del teclado, lo cual producirá la saturación del sistema:

Al mismo tiempo se auto-copiará en la carpeta C:\Windows con el nombre de Christmas.exe y para asegurarse de ser ejecutado la próxima vez que reinicie Windows creará la siguiente llave de registro:

Adicionalmente cambiará el nombre del equipo infectado por el de "Zacker", modificando la llave de registro:

Luego reemplazará la página de inicio de Internet Explorer con esta nueva modificación en el registro:

Al ingresar a este enlace, (actualmente fuera de servicio) el gusano, a través del código Java Script presente en dicha página, descargará un archivo escrito en Visual Basic Script de nombre outlook.vbs en la carpeta C:\Windows\System, el cual se encargará de extender su propagación a través del popular canal de Chat que haga uso del software mIRC.

A continuación, el gusano busca la existencia de la aplicación mIRC en la carpeta C:\Mirc del sistema infectado y si ésta es hallada, crea un archivo script.ini para propagarse a través del IRC (Internet Relay Chat) utilizando este servicio. De este modo, cuando el usuario se encuentre conectado en alguna sesión de chat, el sistema del usuario infectado enviará una copia del gusano a cada persona que se conecte o esté participando en ese foro.

Su payload destructivo borrará el contenido de las carpetas de conocidos Antivirus y Firewalls como en el caso de su antecesor, el gusano Goner:

Antes de terminar sus estragos, el archivo outlook.vbs borrará el contenido de la carpeta C:\Windows\System y el gusano terminará su ciclo apagando el sistema.