Xirtam

XIRTAM gusano de Correo se copia a las unidades de disco se frusta su intento de infección a redes compartidas.

W32/Xirtam@mm

Xirtam es un gusano reportado el 26 de Enero del 2007 que se propaga a través de mensajes de Correo, con remitentes extraídos de archivos con extensión HTM, HTML y HTA, contenido, asunto y archivo anexado definidos.

Se copia a las unidades de disco del sistema y por un error de programación, su rutina de búsqueda de IP aleatorias e infección de redes con recursos compartidos no es ejecutada con éxito.

Es un PE (Portable Ejecutable) infecta Windows 95/98/Me/NT/2000/NT/XP, está desarrollado en Visual C++ con una extensión de 34.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

A través de su propio SMTP (Simple Mail Transfer Protocol) se envía a las direcciones de correo extraidas de los archivos con extensiones HTM, HTML y HTA del sistema infectado.

El mensaje tiene las siguientes características:

Remitente: datafolder@yahoo.com o cualquiera de las direcciones extraídas del sistema.

Asunto: Reply DataFolder

Contenido:

Please Save Attachment File For Detail Data In File
( Save Attachment and after that Open the DataFle Scan Virus)

Anexado: Reply.exe

Al ser activado se copia a siguientes rutas con los nombres:

%UserProfile%\Local Settings\Temp\Reply.exe
%UserProfile%\Local Settings\Temp\spoolsv.tme
%UserProfile%\Local Settings\Temp\taskmgr.txt
%UserProfile%\spoolsv.exe
%Windir%\Matrix.scr

para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves y sub-llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"NeverShowExt" = ""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Task" = "%UserProfile%\spoolsv.exe"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE" = "%Windir%\Matrix.scr"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Task" = "%UserProfile%\spoolsv.exe"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveActive" = "1"

Para ejecutar el gusano en forma automática, cada vez que un disco removible es deshabilitado y usado en otra PC de una misma red, modifica el autorun.inf

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

al siguiente inicio del equipo el gusano se copia a las unidades de disco:

A:\Recycled.exe
E:\Recycled.exe
E:\Secret\Nice Sex.exe
E:\Autorun.inf
F:\Recycled.exe
F:\Fuck\Nice Sex.exe
F:\Autorun.inf
G:\Recycled.exe
G:\911 Death\911.exe
G:\Autorun.inf
H:\Recycled.exe
H:\VDO\Nice Sex.exe
H:\Autorun.inf
I:\Recycled.exe
I:\Data Fair\Nice Sex.exe
I:\Autorun.inf
J:\Recycled.exe
J:\Nice Sex.exe
J:\Autorun.inf

por un error de programación, su rutina de búsqueda de IP aleatorias e infección de redes con recursos compartidos no es ejecutada con éxito.

almacena en una lista las redes con recursos compartidos detectadas, y a las que no logra ingresar, en la ruta:

%UserProfile%\Local Settings\Temp\taskmgr.txt

PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 26 de Enero del 2007 detectan y eliminan este gusano.