Zezer

ZEZER, gusano de Correo simula tener actualización para Messenger, deshabilita antivirus, roba passwords.

W32/Zezer@mm, W32/Dozer@mm, I.worm.zezer@mm

Zezer es un gusano reportado el 01 de Octubre del 2003, de propagación masiva, a través de mensajes de correo con un archivo anexado de nombre Msn_inst.exe, que simula ser enviado por Microsoft con una actualización para MSN Messenger.

Se auto-envía a la Lista de Contactos del Messenger con el dominio @hotmail.com, de los sistemas infectados, al enganchar llamadas API (Application Program Interface) de esta popular aplicación de mensajería instantánea.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones del Remitente.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

El gusano está desarrollado y compilado en Visual C++, con una extensión de 21.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El mensaje tiene las siguientes características:

Destinatario: dirección_extraída_del_Messenger@hotmail.com
Remitente, uno de los siguientes:

winpatch@microsoft.com
services@microsoft.com
msnsupport@microsoft.com
helpdesk@microsoft.com
security@microsoft.com
windowsupdate@microsoft.com

Asunto: Windows Update (MSN Messenger Update 6 MSN Messenger vulnerability)
Contenido:

Attention All Microsoft Users:

A patch has been issued to correct a vulnerability in MSN Messenger which can be performed by a malicious user in order to gain unauthorized access to compromised computers. Windows users who have MSN Messenger 4.x and higher versions are affected by this vulnerability and must download and install the patch labeled Msn_inst.exe, which is attached to this email message. For any support regarding this patch please contact support@microsoft.com for more information.

Anexado: Msn_inst.exe

Al ejecutar el archivo anexado se muestra la siguiente falsa caja de diálogo:

Al hacer click en "OK" el gusano se copia a las siguientes rutas con diversos nombres de archivos:

%Startup%\msnexec.exe
%Windir%\Mscsgs.exe
%Windir%\Msn_inst.exe
%Windir%\Msn_updt.exe
%System%\Mscsgs32.exe

Para activarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mscsgs" = "%Windir%\Mscsgs.exe"

[HKEY_CURRENT_USER\Software\Zed\Dozer]
"Dozer" = "W32/Dozer by Zed"

Para deshabilitar las herramientas de edición del Registro de Windows, el gusano genera esta llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = 1

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

Una vez activado, el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CCAPP.EXE
CFIADMIN.EXE
ESAFE.EXE
CFIAUDIT.EXE
CFIND.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_0.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
FPROT95.EXE
F-PROT95.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TDS2-98.EXE
TDS2-NT.EXE
VCONTROL.EXE
VET32.EXE
VET95.EXE
VET98.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZAPRO.EXE
ZONEALARM.EXE

Actuando como Backdoor, el gusano roba las Claves de Acceso contenidas en el "cache" y las envía a la dirección de correo netdozer@hotmail.com (actualmente deshabilitada).

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, simulando ser enviado por Microsoft y conteniendo una actualización para MSN Messenger.
Se auto-envía a la Lista de Contactos de MSN Messenger con el dominio @hotmail.com.
Deshabilita las herramientas de edición del registro de Windows.
Deshabilita antivirus, firewalls y software de control, dejando totalmente vulnerable a los sistemas infectados contra virus y ataques de intrusos.
Actuando como Backdoor roba password del cache y los envía a una dirección de correo.

PER ANTIVIRUS® versión 8.3 con registro de virus al 01 de Octubre del 2003 detecta y elimina eficientemente este gusano.