Además de distribuirse en toda la red local y através de los mensajes de e-mail, el agente crea un ejecutable de windows con un nombre que selecciona al azar y que comienza con la letra «K» (p.e. KB345.exe) y que copia en un directorio temporal, con el virus Win32.Klez incluido, y ejecuta el virus infectando todos los fichero sejecutables que puede en todos los discos duros de los ordenadores de la red.
EJECUCION
Cuando un fichero infectado se ejecuta, el virus se copia a sí mismo en la carpeta del sistema windows con el nombre «krn132.exe». A partir de ahí inserta la siguiente información en el registro de windows, de forma que se ejecuta automáticamente cada vez que Windows se inicie:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Krn132 = %System%Krn132.exe
donde %System% es el nombre de la carpeta de sistema de windows.
Entonces el virus busca las aplicaciones que están en ejecución (ver listado de antivirus a continuación) y fuerza que se descarguen de la memoria usando el comando de «Finalizar Proceso»
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC,
NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32,
NSCHEDNT, NSPLUGIN, SCAN, SMSS
DISTRIBUCION POR E-MAIL
El gusano utiliza el protocolo SMTP para enviar los mensajes. Encuentra las direcciones en la base de datos WAB del Outlook y envía los mensajes infectados a todas las direcciones.
El «Asunto» del mensaje es seleccionado de forma aleatoria de la siguiente lista:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don’t cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
El texto del mensaje es el siguiente:
I’m sorry to do so,but it’s helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
Fichero Adjunto: Win32 PE EXE con un nombre aleatorio y la extensión «exe» o la doble extensión name.ext.exe
El gusano selecciona el nombre del fichero (name.ext) usando una rutina original. Escanea todos los discos duros disponibles buscando ficheros con las siguientes extensiones:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
Entonces usa uno de los ficheros encontrados como base para el nombre del fichero adjunto y le añade la extensión «.exe», por ejemplo «nominas.xls.exe»
Seguidamente inserta su propio remitente «De: » en los mensajes infectados. Dependiendo de un contador aleatorio inserta una dirección e-mail real o una falsa que genera de forma aleatoria.
Una característica interesante de este virus es que tras enviar los mensajes infectados escribe la lista de las direcciones e-mail que encuentra en su propio EXE.
Replicado: discos locales y en red
El gusano busca en lso discos duros y en red los que disponen de acceso de escritura y se autocopia con nombre aleatorio del tipo name.ext.exe (el nombre lo genera de forma similar a como lo hace en los envíos de e-mail) Tras copiarse en los recursos accesibles (discos duros, en red…) se registra una copia de sí mismo en los ordenadores remotos como aplicación de sistema.
Payload
Los días 13 de los meses impares el gusano ejecuta una rutina que llena todos los ficheros del ordenador de la víctima a que tenga acceso con contenido aleatorio. Estos ficheros son irrecuperables y han de restituirse a través de una copia de seguridad.
Bájate el siguiente programa para eliminarlo de tu ordenador si sospechas que estás contagiado, gentileza de Kaspersky Labs.
clrav.com (70 K)
J.A.E.
