Win32/Wozer@mm, I.worm.Wozer@mm

Wozer es un destructivo gusano residente en memoria, reportado el 20 Noviembre del 2003, de propagación masiva a través de un mensaje de correo con un archivo Anexado de nombre eCard.zip. También se difunde en redes con recursos compartidos y el IRC (Internet Chat Relay). Deshabilita antivirus, firewalls y sistemas de control. 

La muestra fue remitida por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado) 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Microsoft Visual C++ con una extensión de 23.2 KB empaquetado y 22.5 KB al ser convertido en archivo ejecutable.

Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo de la Libreta de Direcciones de MS Outlook o las extraídas de los archivos con las siguientes extensiones:

• HTM
• HTML
• WAB
• EML
• ODS
• MMF
• NCH
• MBX
• TBB
• CPP
• DPR
• FRM
• BAS
• DOC
• RTF
• VBS
• TXT
• ASP

Al ser ejecutado libera el gusano IRC_WOZER que sobre-escribe al SCRIPT.INI que contiene las rutinas para el envío de mensajes de correo con el archivo anexado, a todos los usuarios del IRC (Internet Chat Relay) a cuyo canal de Chat se encuentre conectado el sistema infectado.

Para activarse la próxima vez que se inicie el sistema en Windows NT/2000/XP crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe" 

En Windows 95/98/Me modifica el SYSTEM.INI:

SYSTEM.INI
[windows]
shell = explorer.exe explore.exe

Al siguiente re-inicio el gusano termina los procesos de los siguientes antivirus antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos:

• _avp
• ackwin32
• amserv
• anti-troj
• aplica32
• apvxdwin
• autodown
• avconsol
• ave32
• avgcc32
• avgctrl
• avgw
• avkserv
• avnt
• avp
• avsched32
• avwin95
• avwupd32
• blackd
• blackice
• bootwarn
• ccapp
• ccshtdwn
• cfiadmi
• cfiaudit
• cfind
• cfinet
• claw95
• dv95
• ecengine
• efinet32
• esafe
• espwatch
• f-agnt95
• f-prot
• f-prot95
• f-stopw
• findviru
• fp-win
• fprot
• fprot95
• frw
• gibe
• iamapp
• ibmasn
• ibmavsp
• icload95
• icloadnt
• icmon
• icmoon
• icssuppnt
• icsupp
• iface
• iomon98
• jedi
• kpfw32
• lockdown2000
• lookout
• lu32
• luall
• moolive
• mpftray
• msconfig
• nai_vs_stat
• nav
• navapw32
• navnt
• navsched
• navw
• nisum
• nmain
• normist
• nupdate
• nupgrade
• nvc95
• outpost
• padmin
• pavcl
• pavsched
• pavw
• pcciomon
• pccmain
• pccwin98
• pcfwallicon
• persfw
• pop3trap
• rav
• regedit
• rescue
• safeweb
• serv95
• sphinx
• sweep
• tca
• tds2
• vcleaner
• vcontrol
• vet32
• vet95
• vet98
• vettray
• view
• vscan
• vsecomr
• vshwin32
• vsstat
• webtrap
• wfindv32
• zapro
• zonealarm

Igualmente verifica todos los procesos que se encuentren en ejecución. De no existir ninguno el gusano continúa con sus rutinas de infección, propagación y payloads. 

Para propagarse por el IRC (Internet Chat Relay) el gusano sobre-escribe el archivo SCRIPT.INI de la carpeta del software mIRC, en caso que éste se encuentre instalado, y cuya función es auto-enviar el archivo infectado a todos los usuarios conectados a un mismo canal de Chat, con un efecto multiplicador.

Para infectar a través de las Redes con recursos compartidos, el gusano libera una copia de sí mismo, con el nombre de Winupdate.exe el cual es propagado en todas las unidades de Red. 

Finalmente libera el archivo Crow.txt en el directorio raíz de C:\ que contiene el siguiente texto:

El gusano tiene los siguientes payloads:

PER ANTIVIRUS® versión 8.3 y 8.4 con registro de virus al 20 de Noviembre del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)