Winevar

Winevar, infecta visualizando el mensaje, deshabilita antivirus y firewalls, borra archivos del disco.

W32/Winevar@mm, W32/Korvar, W32/Braid.C@mm, W32/Bride.C@MM

Winevar, es un gusano variante del Braid.B, reportado el 25 de Noviembre del 2002, de propagación masiva a través de mensajes de correo e infecta con tan solo leer el mensaje, aprovechando la vulnerabilidad del MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo, además de la vulnerabilidad Microsoft VM ActiveX Component, corregida en Octubre del 2000 y actualizada en Enero del 2001.

Se auto-envía con un Asunto aleatorio y tres archivos anexados:

WINxxxx.TXT (12.6 KB) MUSIC_1.HTM (1 KB)
WINxxxx.GIF (120 bytes) MUSIC_2.CEO (89 KB)
WINxxx.PIF (89 KB)

Los archivos tienen un valor numérico aleatorio que precede a la extensión del archivo. Asimismo, el mensaje contiene un archivo ejecutable anexado de audio/x-wav, de modo que al ser visualizado, la aplicación Windows Media Player es ejecutada.

Es un PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. Ejemplo de mensaje:

Al ser activado el archivo, el gusano se auto-copia a %system% con el siguiente nombre:

C:\%system%\Winxxxx.pif

xxxx es una variable de 3 o más dígitos elegidos en forma aleatoria que antecede a la extensión del archivo.

Para ser ejecutado la próxima vez que se inicie el sistema genera llaves de registro a las cuales agrega el valor del archivo infectado. Ejemplo:

En Windows 9x/Me:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
Default = "C:\%system%\WINxxxx.PIF"

En todos los Sistemas Operativos:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Default = "C:\%system%\WINxxxx.PIF"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Default = "C:\%system%\WINxxxx.PIF"

%system% es una variable por defecto C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Este gusano posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo del sistema infectado, capturados en archivos con extensiones .HTM y .DBX y al terminar el envío muestra este gráfico:

Luego el gusano anulará los procesos de antivirus, firewalls y de monitoreo que tengan las siguientes cadenas:

view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy

Excepto si estas cadenas contienen los siguientes nombres:

microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass

Finalmente, su payload destructivo intentará borrar todos los archivos de las carpetas de la unidad donde fue instalado.

Si el payload no es activado el gusano creará el siguiente mutex que es un proceso consistente en recibir mensajes de diferentes fuentes, hilos, eventos, etc. y enviarlas a un destino común:

~~ Drone Of StarCraft~~

El parche para esta vulnerabilidad MIME exploit debe ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

El parche para el Componente Microsoft VM ActiveX debe ser descargado de:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-075.asp

PER ANTIVIRUS® versiones 7.7 y 7.8 con registro de virus al 25 de Noviembre del 2002 detectan y eliminan eficientemente este gusano.