|
Win32.Updater, I-Worm.Imelda, W32/Updater@MM, Imelda
Updapter
, es un gusano propagado en la noche del 6 de Diciembre del 2001, de gran difusión masiva a través de mensajes de correo electrónico vía Internet, con un archivo anexado elegido en forma aleatoria desde una lista contenida en el cuerpo de esta especie viral, con el clásico formato PE (Portable Ejecutable) de todos los sistemas operativos Win32.Este gusano satura servidores Web, LAN, estaciones de trabajo, PC individuales y domésticas, con un gran efecto multiplicador. Renombra archivos y la etiqueta de la unidad del disco C: con el nombre Imelda.
Infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000.
Updater
ha sido desarrollado, aparentemente en Indonesia, en lenguaje Visual Basic 6.0. Tiene 12k de extensión al estar comprimido con el utilitario UPX (Ultimate Packer for eXecutables) y que al descomprimirse se convierte en un archivo muy grande de 45kb, debido a que contienen diferentes segmentos de Asuntos y archivos anexados.Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, en un mensaje de correo:
El asunto del mensaje es elegido en forma aleatoria utilizando la combinación de 4 diferentes segmentos contenidos dentro de su código viral:
Primer segmento:
Have you
You Should
Just
Why Not you
How to
Re:
Fwd :
Segundo segmento:
Check
Check out
Watch out
Open
Look at
Tercer segmento:
this
For this
The
Picture
Program
Patch
Nude pic
Cuarto segmento:
Report
Documment
Quotation
Transaction
Bank Account
WTC Tragedy
Osama Vs Bush
Account
Private Pic
Un ejemplo de combinación en el asunto será: "Have you Check out this Transaction".
El archivo anexado es también elegido aleatoriamente de cualquiera de los siguientes, contenidos dentro de su código viral:
Setup.exe
Install.exe
Readme.exe
Files.exe
Picture.exe
Quotation.Doc.exe
Letter.Doc.exe
Picture.JPG.exe
Si el archivo anexado es ejecutado, el gusano se auto-copia a la carpeta C:\Windows con el nombre UPDATE.EXE y en forma adicional con uno de los siguientes nombres:
C:\Windows\Setup.EXE
C:\Windows\install.exe
C:\Windows\Readme.exe
C:\Windows\Files.exe
C:\Windows\Picture.exe
C:\Windows\Quotation.Doc.exe
C:\Windows\Letter.Doc.exe
C:\Windows\Picture.jpg.exe
Para asegurarse de ser activado la próxima vez que se inicie Windows, el gusano modifica la llave del registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Update = C:\Windows\Update.exe
A continuación mostrará un falso mensaje de error, ocultando su acción real:
Luego creará un archivo Visual Basic Script de nombre Update.vbs en la carpeta de inicio de Windows, para ejecutarlo cada vez que se inicie el sistema:
C:\WINDOWS\Menú Inicio\Programas\Inicio\Update.vbs
Su payload final tiene consiste en la auto-ejecución del archivo Update.vbs, iniciando una búsqueda de archivos con extensión *.DOC, *.EXE y *.TXT en las unidades lógicas locales y de red, auto-copiándose con los nombres de los archivos encontrados, a los cuales les agrega la extensión vbs Por ejemplo:
MPLAYER.EXE.Vbs
NOTEPAD.EXE.Vbs
Dentro del cuerpo de los archivos creados se lee:
I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo - Indonesian Virus Network
http://indovirus.8m.com , IRC Dalnet #indovirus
El script Update.vbs se ejecuta en forma automática, cada vez que se re-inicia el sistema y muestra en la pantalla la siguiente caja de diálogo los días 12 de cada mes:
PER ANTIVIRUS
® versión 7.2 actualizado al 07 de Diciembre del 2001, detecta y elimina eficientemente este gusano.
