Salga

SALGA destructivo gusano de Correo IRC redes con recursos compartidos y la mayoría de Peer to Peer.

W32/Salga@mm, I.worm.Salga@mm

Salga es un destructivo gusano, reportado el 1o de Diciembre del 2004, de propagación masiva en mensajes de correo con diversos formatos de Asuntos y Contenidos elegidos en forma aleatoria con un archivo Anexado de nombre Britny spears marrage with Bnladensun.zip.

Se propaga por el el IRC, redes con recursos compartidos y Peer to Peer.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El mensaje tiene las siguientes características.

Asunto: Nicole kidman secrets'
Contenido: Hi,this is secret files of <<Nicole Kidman>> contain her sexy photoes in Florida,her credits ,part of her new film {Bn-laden days} and her telephones numers with here email.....see it and replay us please ..... it is very interesting secret files ..bibi

Asunto: BRITNY SPEARS MARRAGE
Contenido: Hi,this is secret files of <<Britny spears>> contain her marrage photoes in
texas,part of her marrage party and her reactions about madona.....see it and replay us please ..... it is very interesting secret files ..bibi

Asunto: Is Bnladen realy cow boy
Contenido: Hi: mr or miss some amricans say befor 20 yrs Bnladen was cow boy these photoes and parts of vidioes prove it <<photos and vedioes in attachement file>>

Asunto: Chance for holyday
Contenido: If u you want to have anice holyday you must call us at this adress USA MITCHGEN and we will give greate offer details in this attachment

Asunto: To contact new friends
Contenido: Hi:miss or mr you can contact new friends all ever the world deatails in attachmment file

Asunto: New version of kasper fire wall
Contenido: this is the new update and last version of kasper fire wall it contains more and new advantages

Asunto: SEXY FILES
Contenido: This attachmment contain very hard sexy photos with part of sexy films interest and replay us

Asunto: BRITNY SPEARS MARRAGE
Contenido: Hi;this is some photoes of Britney Spears marrage with Bnladen son in flash file so<<<<if the winzip file not run you must change the extention to exe to execute it

Adjunto: Britny spears marrage with Bnladensun.zip

Una vez ejecutado el gusano el archivo se desempaqueta en memoria y se auto-copia a las rutas:

.exe
%Windir%\system\system copy.exe
%Windir%\system32\egywormo[gen1].exe
%Windir%\acdsee demo.exe
%Windir%\All Users\Start Menu\Programs\StartUp\ana~1.exe
%Windir%\Start Menu\inter net speeder.zip.exe
%Windir%\start menu\programs\new chat prog.zip.exe
C:\Britny spears marrage with Bnladensun.zip
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\egy~1
C:\Documents and Settings\All Users\DESKTOP\holywood stuff film.zip.exe
C:\Documents and Settings\All Users\Start Menu\nicole kidman sexy cam.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\your sexy cam.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Accessories\magic graphices maker.zip.exe
C:\Archivos de programa\Accessories\Nicole Kidman.zip...............exe
C:\Archivos de programa\Accessories\BRITNY SPEARS MARRAGE.zip...............exe
C:\Archivos de programa\Accessories\Is Bnladen realy cow boy.zip...............exe
C:\Archivos de programa\Accessories\Details.zip...............exe
C:\Archivos de programa\Accessories\Details of new friends.zip...............exe
C:\Archivos de programa\Accessories\kasper2005.zip...............exe
C:\Archivos de programa\Accessories\hard sex files.zip...............exe
C:\Archivos de programa\mirc\Britny spears marriage with Bnladen son.zip.exe
C:\Archivos de programa\mirc32\Britny spears marriage with Bnladen son.zip.exe

Para ejecutarse la próxima vez que se re-inicie el sistema el gusano crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system xp" = "%Windir%\acdsee demo.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"windows" = "%System%\system copy.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio el gusano sobre-escribe los siguientes archivos en las rutas:

C:\Archivos de programa\mIRC\script.ini
C:\Archivos de programa\mIRC32\script.ini

enviando a los usuarios que se conecten a una misma sesión de Chat una copia de sí mismo con el nombre de:

Britny spears marriage with Bnladen son.zip.exe

El gusano crea también las siguientes carpetas:

%Windir%\All Users\Desktop\sex cam
C:\Britny
C:\hard core hook from web
D:\hook all sex movies from webs
D:\new computer worm alert
D:\NEW PROGRAMS
E:\real sex telephones

Se auto-copia en las siguientes rutas y con los nombres:

%Windir%\All Users\Desktop\sex cam\sex photoes of monika.zip.exe
C:\Britny\NEW FILM.ZIP.EXE
C:\hard core hook from web\setup.zip.exe
D:\hook all sex movies from webs\setup.zip.exe
D:\FUN.ZIP.EXE
D:\girlfriends emails.zip.exe
E:\blood of fetch sex.zip.exe
E:\real sex telephones\me.zip.exe
E:\Messenger 9.00.ZIP.EXE

Crea el archivo autorun.inf en la unidad D:\ con las siguientes líneas:

[autorun]
open=FUN.ZIP.EXE

Crea el archivo autorun.inf en la unidad E:\ con las siguientes líneas:

[autorun]
open=Messenger 9.00.ZIP.EXE

Para infectar a través de KaZaa crea la carpeta (en caso no existir)

C:\Archivos de programa\Kazaa\My Shared Folder\Shared y se copia con los nombres:

huge sexy brests program v 1.7.00.zip.exe
3d msn version 10.1.zip................exe
this files is very secret files.zip.........exe
new film.zip.........exe
i robot.zip.........exe
anti virus.zip.........exe
fire wall.zip.........exe
news.zip.........exe
yahoo.zip.........exe
aol.zip.........exe
mirc.zip.........exe
hack.zip.........exe
virus.zip.........exe
animal photos.zip.........exe
USA secrets.zip.........exe
photo shop.zip.........exe
deutsh programs.zip.........exe
wwf.zip.........exe
tourism.zip.........exe
fear.zip.........exe
autocade.zip.........exe
3dstoudio.zip.........exe
scince of water.zip.........exe
office 2005.zip.........exe
antibiotics.zip.........exe
viagra.zip.........exe
visual basic projects.zip.........exe
FBI secrets.zip.........exe
FOOTBALL IN ENGLAND.zip.........exe
TOY 2006.zip.........exe
Britny Spears.zip.........exe
Dracola.zip.........exe
pebsi.zip.........exe
news paper.zip.........exe
cocacola.zip.........exe
songs.zip.........exe
norton 2005.zip.........exe
xxl plus.zip.........exe
lesbien.zip.........exe
hard core.zip.........exe
sex plus.zip.........exe
computers in 2010.zip.........exe
ssParis_Hilton_(Nude Screen Saver).scr.............exe
Win32System_Tweaks_v1.0.zip.........exe
ms games.zip.........exe
Virtual_3D_Pinball.zip.........exe
ssPamela_Anderson_(Naked Screen Saver).scr.........exe
Game_Crack_Genie_v0.5.zip.........exe
MsDos_PortScanner.zip.........exe
Wmplayer_Celebrity_Skins.zip.........exe
Shockwave Flash.zip.........exe
SWF_Movie.zip.........exe
FlashMovie.zip.........exe
XXX video.zip.........exe
Cat attacks child.zip.........exe
SWF.zip.........exe
Comedy video.zip.........exe
Simpsons Episode (#36)..zip.........exe
Tutorial Video on Hacking.........exe
MacroMedia Flash 6.0.zip.........exe
[SWF] - The Fast and the Furious.zip.........exe
[SWF] - Swordfish.........exe
[SWF] - Harry Potter and the philosophers stone.zip.........exe
big one in the world.zip.........exe

Luego agrega la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Kazaa\Transfer\StartKazaa]
"-SilentRun" = "C:\Archivos de programa\Kazaa\My Shared Folder\Shared"

Y se copia a todas las carpetas y sub-carpetas que contengan la cadena "shar" con los nombres:

Britny spears and Madona sex viedio in 24 min only.zip.................exe
Iraq war.zip.................exe
last messengers versions.zip.................exe
learn photo shop in 3 days only.zip.................exe
new cupied photos.zip.................exe
new girls emails with there phone numbers.zip.................exe
strong fire wall allover the world with thelast update of norton.zip.................exe
USA discvered water in mars yesterday.doc.zip.................exe

Asimismo se auto-copia a las rutas de atributos compartidos ocultos, con los nombres:

c$\windows\system32\pass word of hotmail store.zip................exe
c$\winnt\systemm32\speial films links in net.zip.............................exe
c$\documment and settings\all users\documents\secret documents.zip......................exe
c$\money generator very dengerous and secrt.zip..........................exe
c$\shared\my sallary every mmonth increaser.................................exe
ipc$\secret photoes from my chat.zip...............................exe
admin$\system32\see this it is very intersting.zip...................................exe

Crea una red compartida llamada "Britny" la cual apunta a C:\Britny.

Seguidamente envía el siguiente mensaje a otros usuarios:

Remitente: [nombre_del_sistema_infectado]

Destinatario: [grupo_de_trabajo] en [fecha/hora]:

Asunto:

* hi welcome in our network you can see the new film of Britny spears from the computer which shown it is very interesting film or see it also from any shared folder <<habby interesting time in our net cafe bi>>

Abre una ventana en el navegador hacia:

http://www.originalicons.com/?oi=funnyphotos.php?emailfrom=mgasalgya_4ever@hotmail.com!, etc.

que lleva a una página de gráficos de toda clase incluyendo Triple X.

Crea el archivo D:\new computer worm alert\virus alert.txt, con el texto:

your computer have been infected by:-
Egywormo[gen1]
this worm may lead to increase hard disk space,slow your system and also can destroy your c:\ drive
aim of this worm is catching more victems and give them ip and some email details then destroy hard space with system exclusion
creation by XP10 VIRUS MASTER
contact us in [mgasalgya_4ever@hotmail.com]

Finalmente usa las direcciones de Microsoft Outlook para enviar mensajes con las siguientes características:

A: mgasalgya_4ever@hotmail.com
Asunto: Sir new victem
Contenido:
Hi:sir i'm your server Egywormo[gen1] this is new victem who has own outlook machine i caputre his contacts and go there to infect them.... ok i'll go now and see you soon when i infect more ......bibi sir
A: mgasalgya_4ever@hotmail.com
Asunto: Egywormo give her sir email of victem
Contenido: password of victem email

PER ANTIVIRUS® versión 9.0 con registro de virus al 1o de Diciembre del 2004 detecta y elimina este gusano.