PRUNE, gusano VBS infecta vía Correo, Chat y Redes compartidas, borra archivos en determinadas fechas.  

© Jorge Machado  Lima-Perú

VBS/Prune@mm, VBS/UN_Interview@mm, VBS/Iraq Crisis, I-worm.patzak@mm

Prune es un destructivo gusano reportado el 12 de Marzo del 2003, de propagación masiva a través de un mensaje de correo que contiene un archivo anexado de nombre UN_Interview.txt.vbs y Contenido en blanco. Infecta además vía el IRC (Internet Chat Relay) y en redes con recursos compartidos. En fechas determinadas borra archivos de carpetas y de la unidad C: del disco.

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000

Al ejecutar el archivo el gusano se auto-copia al directorio %Windir% con el nombre UN_Interview.txt.vbs y para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
default = "%Windir%\UN_Interview.txt.vbs" 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Una vez activado el gusano realiza tres tipos de procesos de infección: vía correo electrónico, Chat y a través de redes con recursos compartidos. 

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook

Una vez terminado el proceso de envío masivo, el gusano borra los mensajes enviados.

Para difundirse por el IRC (Internet Chat Relay) busca la existencia del software mIRC y sobre-escribe el archivo SCRIPT.INI en la carpeta C:\mIRC y C:\Archivos de programa\mIRC y procede a enviar el archivo infectado UN_Interview.txt.vbs a todos los usuarios que se conecten a una misma sesión de Chat. 

Prune busca a través de un rango específico de direcciones IP en unidades C: de redes compartidas. Cada unidad encontrada, es vinculada por el gusano a la letra T:  dentro del sistema infectado y luego utilizada para auto-copiarse en la ubicación:

T:\%Carpeta_de_Inicio_de_Windows% del sistema remotamente accedido, con el nombre del archivo infectado UN_Interview.txt.vbs

%Carpeta_de Inicio_de_Windows% de acuerdo a la versión del sistema operativo, puede tomar cualquiera de los siguientes valores:

(El gusano toma como referencia la dirección IP de la Universidad de Washington - USA) 

Durante este proceso, el gusano adicionalmente crea el archivo autoexec.bat en T: reemplazando el autoexec.bat original del sistema remoto. Este archivo ejecutará el UN_Interview.txt.vbs.

También crea un archivo de nombre HCKD.txt, dentro del cual almacena los resultados del proceso de búsqueda a través de direcciones IP del sistema infectado.

Luego el gusano copia a la carpeta Temporal de Windows un gráfico de nombre peach.jpg, perteneciente a un juego denominado Peach (durazno) que lo activa en la pantalla:

El día 1o de cada mes el gusano se auto-copia 39 veces a la carpetas C:\unzipped y C:\%Windir%\desktop, con diversos nombres: 

Muestra además esta caja de diálogo: 

 

Los días 1 al 5 de cada mes el gusano borra los archivos de la carpeta de Instalación de %Windir%, %System% y los de la unidad C: 

Finalmente el día 5 muestra esta caja de diálogo:

 

Sus payloads son los siguientes:

PER ANTIVIRUS® versión 7.9 y 8.0 con registro de virus al 12 de Marzo del 2003 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS