Runnelot

RUNNELOT, gusano muy destructivo borra archivos .EXE y de diversas carpetas en fechas determinadas

W32/Runnelot@mm, I-worm.runnelot@mm

Runnelot es un gusano, de origen ruso, reportado el 21 de Enero del 2003, de propagación masiva a través de mensajes de correo, con Remitentes, Asuntos y archivos anexados resultantes de la combinación de diversos nombres aleatorios o frases relacionados a temas pornográficos. Usa el SMTP (Simple Mail Transfer Protocol) instalado por defecto en los sistemas y se auto-envía a las direcciones que extrae de los archivos .HTM y en fechas determinadas sobre-escribe todo el contenido de varias carpetas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Está desarrollado en Assembler, con una extensión de 9 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Los mensajes de correo tienen los siguientes formatos contenidos en el código del gusano:

El campo De: usa uno de los siguientes nombres:

Dmitry, Eugene, Igor, Jhon, Mark, Bill, Frank, Sam, Tim, Brad, Samuel, Dean, Tom, Robert, Mostovoy, Losinsky, Kaspersky, Danilov, Smith, Woodruf, Brown, Steel, Driver, Seldon, Forge, Stab, McAndrew, Gregor

seguido de cualquiera de los dominios de correo:

@hotmail.com, @yandex.ru, @yahoo.com, @newmail.ru

El Asunto: es seleccionado de una de las siguientes frases:

Weclome to Pink World
Blacks on Blondes
New porno movies every day
TONS of porno movies
Fucking Wifes
New FREE sex soft many FREE sex games
FREE porno-soft many FREE sex games

El Contenido: es uno de los siguientes textos:

SUPERGAME! Look as fine blonde
SEX SOFT! hot mom
SEX SOFT! black hitchiker teen
SEX SOFT! dirty girl
SEX SOFT! amateur slut
SEX SOFT! petite babe
SEX SOFT! busty teen
SEX SOFT! wet secretary
SEX SOFT! wild wife

o formatos elegido al azar:

Formato 1

This is a free demo version, and we hope you want visit our web-site (seguido de uno de los siguientes dominios):

WWW.EXPLOITEDPUSSY.COM
WWW.SLEAZYDREAM.COM
WWW.ALLHOTPORN.COM
WWW.TEENFILES.NET
WWW.ADULTMOVIESTATION.NET
WWW.DISCRETESEX.COM

Formato 2

Please visit our web site (seguido de uno de los siguientes dominios):

WWW.EXPLOITEDPUSSY.COM
WWW.SLEAZYDREAM.COM
WWW.ALLHOTPORN.COM
WWW.TEENFILES.NET
WWW.ADULTMOVIESTATION.NET
WWW.DISCRETESEX.COM

(terminando en una de estas dos frases)

-to take more sex programs
-to take full version

Formato 3, uno de los siguientes textos:

150 GIG OF DOWNLOADABLE MOVIES - FREE PASSWORD
HIGH QUALITY MPEGS - NEW SCENES EVERY DAY - 100k+ PICS TOO
Full lenght movies
THE BEST MOVIES ONLINE
HUGE archive of previous movies available! TONS of movies

(seguido de una de estas frases)

-Full screen quality
-Ultra fast downloads
-Updated every day
-All in DVD quality
-WEBMASTERS MAKE MONEY
-GET FULL ACCESS TO OUR MEMBERS AREA FOR 30 MINUTES - FREE
-GET YOUR 30 MINUTES FREE ACCESS
-A new 150mb full lenght movie is added every day

(terminando en una de estas tres frases)

-Install NOW!!!
-Installer in attach
-Test our soft now!

También puede ser una de las siguientes frases completas:

We presents to you ours new sex game as adversting
Install a locator of FREE sex movies of our site as adversting
Install porno screen saver as adversting
This is a new imitator as adversting

Anexado: uno de los siguientes archivos, todos con la extensión .DLL:

sexy girls
hottest blonde
cumshot pamela
analsex lesbians
oralsex teens
asian virgins
hardcore
slut
doggy
sucking
messy

Al ejecutar el archivo anexado el gusano se auto-copia a la carpeta %System% como Runner.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Runner" = %System%\Runner.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Activado el gusano, infecta en primera instancia todos los archivos con formato PE (Portable Ejecutable) a los cuales agrega su código viral en la cabecera. A continuación infecta los archivos .EXE de todas la unidades de disco y en archivos compartidos en la Red Local (LAN).

El gusano crea una copia desinfectada de si mismo y la libera en el disco y en caso de error, muestra en pantalla diversos falsos mensajes:

Error of loading WIN32.DLL file

Loading incomplete. Correct work is not warranted!
Continue?

General error 1452 in KERNEL32.DLL

Program terminated

Haciendo uso del SMTP (Simple Mail Transfer Protocol) instalado por defecto en el sistema, se auto-envía en forma masiva a todas las direcciones de correo extraídas de los archivos con extensión .HTM, las cuales son almacenadas en el archivo runner.dll.

En los archivos infectados se puede visualizar el siguiente texto:

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo a la direcciones de los archivos .HTM
Infecta los Portables Ejecutables.
Infecta los archivos .EXE de todas las unidades de disco y los compartidos en la Red.
Sobre-escribe todos los archivos contenidos en las carpetas: Mis documentos, Historial, Mis favoritos, Cookies, etc., los días 13 de Febrero, 7 y 16 de Marzo, 21 de Abril, 8 y 18 de Mayo, 11 de Junio, 3 de Julio, 29 de Agosto, 30 de Octubre, 5 y 26 de Noviembre, 11 y 30 de Diciembre.

PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 21 de Enero del 2003 detectan y eliminan eficientemente este gusano.