Veedna

VEEDNA, de propagación masiva vía correo y Kazaa, se conecta a página porno. Trunca archivos.

W32/Veedna@mm, W32/Vandeedo@mm, W32/Susmio@mm

VEEDNA es un gusano reportado el 06 de Octubre del 2002. Se propaga masivamente entre los usuarios que comparten la red Kazaa y a través de su propio servidor SMTP (Send Mail Transfer Protocol), en un mensaje de correo con un archivo anexado de 15 KB de extensión, de nombre aleatorio, elegido de una lista contenida en su código viral. No tiene Asunto ni Contenido y tiene efectos destructivos.

Este gusano es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Está comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de los Antivirus:

http://upx.sourceforge.net

Cuando el archivo infectado es ejecutado el gusano se auto-copia a las siguientes carpetas, con sus respectivos nombres, incluyendo a la unidad A:

C:\Zephyr Song.mp3.EXe
C:\Fire.mp3.EXe
C:\ReignoFire.mp3.EXe
C:\HULK.mpg.EXe
C:\TheTuxedo.mpeg.EXe
C:\HULK.mpeg.EXe
C:\Reign of Fire.mpeg.EXe
C:\Pentium 5.doc.EXe
C:\Pentium 5.rtf.EXe
C:\How to make viruses.txt.EXe
C:\Playboy 9.mpeg.EXe
C:\Setup.exe.EXe
A:\The Incredible Hulk.EXe

Cada uno de estos archivos es el gusano en sí y para ser ejecutado la próxima vez que se inicie el sistema modifica la siguiente llave del registro, asignándole aleatoriamente cualquier de sus nombres:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "start.exe = C:\fire.mp3.exe"

Cada vez que se ejecute un archivo .EXE, .COM, .PIF, .HTA o .BAT el gusano será activado, infectando a cada uno de ellos y dejándolos inoperativos.

El gusano también se propaga a través de la popular red de Kazaa al compartir los archivos infectados del directorio raíz con la carpeta C:\Mis Documentos.

También intenta conectarse al sitio web:

http://www.playboy.com

Al mismo tiempo que muestra en la pantalla este mensaje de texto:

Haciendo uso del servidor SMTP instalado por defecto en el sistema infectado, se auto-envía a todos los buzones de correo de MS Outlook, además de las direcciones que pueda extraer de archivos con las siguientes extensiones:

IDX
NCH
MBX
DBX
MSG
EML
TXT
HTM

Este gusano tiene un payload destructivo, ya que además de saturar servidores de correo, redes LAN, estaciones de trabajo y PC domésticas, infecta los archivos arriba detallados, dejándolos innoperativos.

PER ANTIVIRUS® versión 7.7 con registro de virus al 06 de Octubre del 2002 detecta y elimina eficientemente este gusano.