Esta variante fue detectada por primera vez el 5 de octubre de 2005, y NOD32 la detecta desde el primer momento como una variante modificada del Win32/Sober sin necesidad de actualización.
Cuando el gusano se ejecuta, se muestra una falsa ventana de error con el siguiente texto:
Error
Error in packed file!
CRC Header must be $7ff8
[ OK ]
Crea la carpeta "ConnectionStatus" y los siguientes archivos en el sistema:
c:\windows\ConnectionStatus\services.exe
c:\windows\ConnectionStatus\netslot.nst
c:\windows\ConnectionStatus\socket.dli
c:\windows\system32\bbvmwxxf.hml
c:\windows\system32\gdfjgthv.cvq
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\rubezahl.rub
c:\windows\system32\seppelmx.smx
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKCU\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
_WinINet = "c:\windows\ConnectionStatus\services.exe"
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
WinINet = "c:\windows\ConnectionStatus\services.exe"
Esta versión mantiene varios procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.
El gusano utiliza su propio motor SMTP para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Las direcciones seleccionados, son las que tengan los siguientes dominios:
.at
.com
.ch
.de
.net
Evita aquellas direcciones que contengan las siguientes cadenas en su nombre:
aero
com
coop
edu
gov
info
int
museum
name
net
org
pro
El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.
El gusano envía sus mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.
Los mensajes que utiliza para enviarse tienen las siguientes características:
Mensajes en inglés:
De: [remitente falso]
Asunto:
Your new Password
Texto del mensaje:
Your password was successfully changed!
Please see the attached file for detailed information
Datos adjuntos:
pword_change.zip
Mensaje en alemán:
De: [remitente falso]
Asunto:
Fwd: Klassentreffen
Texto del mensaje:
hi,
ich hoffe jetzt mal das ich endlich die richtige person
erwischt habe! ich habe jedenfalls mal unser klassenfoto
von damals mit angehngt. wenn du dich dort
wiedererkennst, dann schreibe unbedingt zurck!! wenn
ich aber wieder mal die falsche person erwischt habe,
dann sorry fr die belstigung ;)
liebe gr
[nombre]
Datos adjuntos:
KlassenFoto.zip
En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre:
PW_Klass.Pic.packed-bitmap.exe
El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto.
Este gusano está programado en Visual Basic 6.0.
|
