W32/Scrimge.H

El gusano se conecta a un servidor del IRC (Internet Chat Relay) ubicado en un sitio web que ha sido vilnerado y desde el cual ejecutará acciones y comandos arbitrarios en forma remota. 

Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 49.5 y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia al directorio %System% como explorer.exe y libera el archivo:

• %Windir%\IMG-[4_dígitos_aleatorios].zip
• %Windir%\IMG-[4_dígitos_aleatorios].zip

%Windir% es una variable correspondiente a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Explorer Key" = "%System%\explorer.exe"

Para evadir la configuración del Firewall de Windows crea la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\explorer.exe" = "%System%\explorer.exe:*:Enabled:Windows Sharing"

Al siguiente inicio del equipo, el gusano revisa la configuración geográfica local del sistema infectado y envía a los contactos de los programas de Mensajería Instantánea que estuviesen instalados, mensajes en uno de 5 idiomas específicos.

Si la ubicación geográfica es en la China enviará los siguientes mensajes:

• ZHE SHI WO DE LUOZHAO :O QING BU YAO FA GEI BIEREN !!
• YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :S !!
• JIESHOU WO DE ZHAO PIAN :> !!
• KAN WO DE ZHAOPIAN :D
• NI HE WO !!! .... QING KAN :D
• kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<.

Si la ubicación es en Brazil enviará los siguientes mensajes:

• VOCÊ TEM QUE VER ESTE RETRATO DE MIM
• Você viu este? o presidente está inoperante...........
• Estas são as fotos que eu quis o mostrar:)
• É este retrato realmente de você?? verificação louca do retrato ele para fora
• Estão aqui meus retratos confidenciais para somente nós.Eu estou indo pôr este retrato de nós sobre meu Web site
• Eu amo este retrato de nossos amigos :D
• Eu cant acredito que este retrato é você: |
• Queira ver esta foto que eu fiz exame de você o outro dia?
• hey eu fiz exame deste retrato fresco de mim em férias
• ay no ese pelo fue lo mas chistoso...q estabas pensando
• jajaja yo me recuerdo cuando tuvistes el pelo asi
• oye ponga esa foto en tu myspace como la foto principal
• voy a poner esa foto de nosotros en mi blog ya
• esa foto de tu y yo la voy a poner en myspace
• hola esas son las fotos
• jaja debes poner esa foto como foto principal en tu myspace o algo :D
• oye voy a agregar esa foto a mi blog ya
• jaja recuerda cuando tuviste el pelo asi
• oye voy a poner esa foto de nosotros en mi myspace :->
• Per favore nessuno lasciare vede le nostre foto
• Io ricordo quando abbiamo portato questa foto
• Caricherò questa foto al mio myspace adesso
• Qui sono il fotos di ci
• jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa :Dmetta questi fotos in suo pagina myspace
• ehi aggiungerò quest'immagine di noi al mio weblog
• jaja ricordo quando lei aveva i suoi capelli come questo
• ehi metterò quest'immagine di noi sul mio myspace :>

Si la ubicación es en Alemania enviará los siguientes mensajes:

• möchten den pics von meinen Ferien sehen?
• Wimmern! Blick auf diese alte Abbildung, die ich: fand
• he ich zeige Ihnen diese Abbildung von mir überhaupt?
• Haha sollten Sie dieses Ihre Rückstellung auf myspace oder etwas pic bilden:D
• he werde ich diese Abbildung von uns meinem weblog hinzufügen
• lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
• he werde ich diese Abbildung von uns auf mein myspace setzen

Si la ubicación es en Bélgica enviará los siguientes mensajes:

• wil je fotos zien van mijn vakantie
• wow! moet je eens kijken welke foto ik nu gevonden heb
• he heb je ooit deze foto laten zien ?
• haha you moet die je standaard foto maken op hyves of myspace
• hey ik voeg deze foto van ons ff toe op mijn weblog
• lol ik kan me nog herrinneren toen je haar zoals dit had
• Hey i zet deze foto van ons even op mijn myspace

Si la ubicación es en Francia enviará los siguientes mensajes:

• défaut de la reproduction sonore ! regard à cette vieille image que j'ai trouvée : |
• mes photos chaudes :D
• haha vous devriez rendre ceci votre défaut pic sur le myspace ou quelque chose :D
• j'ai fais pour toi ce photo album tu dois le voire :p
• hé veux tu voir mes image de vacance??
• le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
• hé je vais mettre cette image de nous sur mon myspace :>

Para otras ubicaciones diferentes a las anteriores enviará los siguientes mensajes:

• Check out my nice photo album. :D
• wanna see the pics from my vacation? :>
• OMG YOU HAVE TO SEE THIS PICTURE!!!! :D
• IS THIS REALLY YOU ??? i cant remember who sent it to me...
• My friend took nice photos of me.you Should see em loL!
• I found these old school pictures... LOL :)
• Here are my private pictures for you

usando el archivo IMG-0012.zip o un enlace hacia una dirección web encriptada desde la cual descargará una copia de sí mismo.

Como Backdoor se conecta a través del puerto TCP 21898, a un servidor IRC (Internet Chat Relay) ubicado en el dominio www.vncsvr.com, el cual ha sido vulnerado y desde el que se recibirán instrucciones y comandos arbitrarios tales como:

• Descargar, ejecutar o borrar archivos
• Capturar y enviar una información del sistema
• Listar, iniciar o detener servicios
• Capturar direcciones de correo y contraseñas
• Capturar digitación de teclas
• Ejecutar comandos IRC
• Ejecutar ataques de saturación Ping e ICMP
• Enviar mensajes de corre MultiSPAM

PER ANTIVIRUS® versión 10.2 con registro de virus al 21 de Septiembre del 2007 detecta y elimina este gusano/backdoor.