Gusano EVAMAN.A

Evaman.A es un simple gusano de correo masivo, se envía solo en correos aparentando ser un mensaje de error.

Descripción

El gusano Evaman.A esta comprimido con una versión sin modificar de UPX. Una vez que es descomprimido su medida crece hasta 40,960 bytes, Cuando es ejecutado crea una mutación llamada "MynameisEva" para asegurarse que solo una copia del gusano esta corriendo.

Infección del Sistema

Una vez ejecutado Evaman copia sus archivos al Directorio de Sistema Windows:

%SysDir%\wintask.exe

El archivo 'Readme,exe' es añadido al registro como:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wintasks.exe"=%SysDir%\wintasks.exe

Para asegurarse que el gusano sea archivado cuando Windows inicie.

Propagación por correo

Evaman tiene su propio motor de SMTP. Cuando se envía el correo crea direcciones receptoras que contienen nombres de usuario de la siguiente lista:

MikeJenniferDavidLindaSusan NancyPamelaEricKevinMary JessicaPatriciaBarbaraKarenSarah RobertJohnDanielJasonJoe

Los correos infectados pueden tener cualquiera de los siguientes asuntos:

returned mailfailure deliveryfailed transaction server errormail failureDelivery Status (Failure)

El cuerpo del mensaje será escogido de la siguiente lista:

This is an automatically generated Delivery Status Notification.
Delivery to last recipient failed.
Email returned as attachment text file.
Message from Mail Delivery Server.
Unable to deliver message to last recipient.
Email returned as text file.
Email returned by the server as ASCII Text mail file.
To read the email download the included attachment.
Mail Server Notice:
Last email sent could not reach intented destination.
Email returned as ASCII text file.
The last email sent by this account could not reach intended destination.
Email has been returned as text file attachment.
Mail Delivery Status Notification:
Message returned by server. Message returned as text file attachment.

Basado en el horario de la computadora obtenido a través de GetTickCount, con un 80% de probabilidad el archivo adjunto será nombrado:

A+ "." +B

Donde A y B están en una lista de palabras. A puede tomar valores "body", "message", "email" y B cualquiera de "scr", "txt.scr" ó "html.scr"

Con un 10% de probabilidad el nombre del archivo adjunto será compuesto en la misma forma descrita anteriormente, pero la lista A es aumentada con "text" y "document" y la B con "outlook.scrtxt.exe".

Este último valor "outlook.scrtxt.exe" es seguramente un error del autor, quien probablemente intento escribir "outlook.scr" y "txt.exe". Si el gusano intenta usar esta última liga inexistente, esto podría llevar a un comportamiento inesperado como un acceso no válido a la memoria , por lo tanto Windows terminará la tarea.

Detección

La detección en el Antivirus F-Secure fue publicada con la actualización del 5 de Julio del 2004.