WorldCup

WorldCup, gusano destructivo, sobre-escribe y borra archivos. Deshabilita antivirus.

Win32/WorldCup@MM, WorldCup@MM, I-worm.WorldCup

WorldCup, es un gusano reportado el 25 de Junio del 2002, con efectos muy destructivos, que se propaga masivamente a través de un mensaje de correo electrónico, con al archivo anexado WorldCup.BAT, con una extensión de 7.5 KB.

Ha sido desarrollado con el VBSWG (Visual Basic Script Worm Generator), creado por [K]alamar.

Este gusano es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al ejecutar el archivo infectado, el gusano crea un Visual Basic Script que usa para su auto-envío masivo a través de la Libreta de Direcciones de Microsoft Outlook y Outlook Express.

Al mismo tiempo se auto-copia a las carpetas C:\Windows y C:\Windows\System, con los siguientes nombres de archivos:

Argentina.bat
Germany.bat
China.bat
Turkey.bat
Russia.bat
Denmark.bat
Wini.bat
Costarica.bat
Spain.bat
Italy.bat
world_cup_.bat

El gusano también borra algunos de los archivos de todos los que previamente creó antes de terminar su proceso de ejecución en memoria y genera los siguientes pequeños archivos en Visual Basic Scripts, también en las carpetas C:\Windows y C:\Windows\System, que después de su ejecución activarán el gusano:

Japan.vbs
Ireland.vbs
Uruguay.vbs
Paraguay.vbs
Brazil.vbs

Al mismo tiempo que crea los archivos .BAT, puede también borrar algunos o todos los archivos .Vbs mencionados, antes de terminar su proceso de ejecución en memoria.

El archivo .BAT también crea una carpeta llamada C:\ASimpleWorm, en el directorio raíz, la misma que contiene el archivo Worldcup.bat, que es una copia del gusano.

Luego crea archivos EYEBALL.REG y ENGLAND.VBS, para facilitar su ejecución cada vez que se inicie el sistema, creando además la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
cqlyg = \%WinDir%\world_cup_.bat

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = \%WinDir%\china.bat

%WinDir% es la carpeta de Windows o Winnt.

WorldCup tiene los siguientes payloads destructivos:

Después de agregar las entradas de inicio en el registro, el gusano sobre-escribe todos los archivos .BAT, incluyendo al AUTOEXEC.BAT en el directorio raíz y en la carpeta de Windows, con su código viral. También sobre-escribe los archivos SYSTEM.INI y WIN.INI de la siguiente forma:

SYSTEM.INI
[boot]
shell=explorer.exe C:\%WinDir%\Italy.bat

WIN.INI
[windows]
load=c:\%WinDir%\%SysDir%\WINI.bat
run=c:\%WinDir%\%SysDir%\WINI.bat

%WinDir% y %SysDir% son las carpetas C:\Windows y C:\Windows\System.

El gusano también borra los archivos que conforman los siguientes software antivirus:

Progra~1\Kasper~1\Avp32.exe
Progra~1\Norton~1\*.exe
Progra~1\Trojan~1\Tc.exe
Progra~1\Norton~1\S32integ.dll
Progra~1\F-Prot95\Fpwm32.dll
Progra~1 \Mcafee\Scan.dat
Progra~1\Tbav\Tbav.dat
Progra~1\Avpersonal\Antivir.vdf
TbavW95\tbscan.sig

PER ANTIVIRUS® versión 7.5 con registro de virus al 25 de Junio del 2002 detecta y elimina eficientemente este gusano.