Circula un nuevo gusano por Internet: B.bi

Por: Karina Saavedra O.

Nombre: B.bi
Alias: W32.Blackmal.E@mm, WORM_GREW.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi

Resumen

Este Nuevo gusano se disemina rápidamente a través de correo masivo así como por directorios compartidos. Intentando deshabilitar software de seguridad.

Descripción Detallada
Instalación al sistema

El Gusano Win32.VB.bi esta escrito en Visual Basic y compilado como código-p. El tamaño del ejecutable principal es de 95Kb. Cuando se ejecuta se copia en diferentes ubicaciones:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe

En donde '%Windows%' representa la carpeta del sistema de Windows. En sistemas Windows XP, usualmente es C:\WINDOWS. '%System%' es la carpeta system32.

El gusano instala la siguiente llamada en el registro de Windows para asegurarse de que se ejecutara cuando se inicie el sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe"

Diseminación en correos electrónicos

El gusano recolecta las direcciones de correo electrónico de archivos con las siguientes extensiones:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VC
.MBX
.IMH
.TXT
.MSF

y de archivos que contengan la siguiente cadena de texto:

CONTENT
TEMPORARY

El gusano se envíe como un anexo en el archivo infectado.

El asunto del correo puede ser alguno de los siguientes:

The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos

El cuerpo del mensaje puede ser cualquiera de los que aparecen a continuación:

Note: forwarded message attached.
Hot XXX Yahoo Groups
Fuckin Kama Sutra pics
ready to be FUCKED ;)
Note: forwarded message attached.
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
i attached the details. Thank you.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)

El gusano puede anexarse como un archivo ejecutable con alguno de los siguientes nombres:

007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
DSC-00465.pIf

En algunas ocoasiones el gusano codifica su archivo en MIME, en cuyo caso el nombre del anexo puede ser:

Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu

El nombre del archivo que se encuentra dentro del archivo codificado en MIME puede ser:

Attachments[001].B64 [spaces] .sCR
3.92315089702606E02.UUE [spaces] .sCR
SeX,zip [spaces] .sCR
WinZip.zip [spaces] .sCR
ATT01.zip [spaces] .sCR
WinZip.zip [spaces] .sCR
Word.zip [spaces] .sCR
Word XP.zip [spaces] .sCR

Diseminación en carpetas compartidas

El gusano busca por carpetas remotas compartidas y trata de copiarse usando alguno de los siguientes nombres:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start
Menu\Programs\Startup\WinZip Quick Pick.exe

F-Secure detecta este nuevo virus con las firmas víricas del 18 de enero del 2006, recuerde mantener actualizado su antivirus para una mejor protección.