Email-Worm.Win32.Xanax

Detalles técnicos

Este es un gusano de Internet que se encontró en estado salvaje a mediados de marzo de 2001. El gusano se propaga por correo electrónico al enviar mensajes infectados de las computadoras afectadas a través de canales de IRC enviando allí su copia. El gusano también infecta archivos EXE en el directorio de Windows.

El gusano en sí es una aplicación Win32 (archivo PE EXE) escrita en lenguaje Microsoft Visual C ++. El tamaño del gusano es de aproximadamente 60K de longitud, pero se encontró en forma comprimida: el código del gusano fue comprimido por la utilidad ASPack, que posee aproximadamente 34K de longitud.

Cuando se inicia el gusano, se copia en el directorio del sistema de Windows con dos nombres: XANAX.EXE y XANSTART.EXE. El archivo XANSTART.EXE se registra en la clave de ejecución automática del Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Predeterminado =% winsystem% xanstart.exe

donde% winsystem% es el nombre del directorio de sistema de Windows. Como resultado, el gusano se ejecuta cada vez que Windows se inicia.

Correo electrónico infectado

El gusano inicia su rutina de propagación de correo electrónico. Para hacer esto, el gusano crea un archivo temporal XANAX.VBS (secuencia de comandos de Visual Basic), escribe un programa VBS allí y lo inicia con la ayuda de WSCRIPT.EXE. El programa VBS obtiene acceso a la libreta de direcciones de Outlook y envía mensajes a las primeras 1,000 direcciones de cada una de las listas de direcciones

Asunto: ¿Estresado? Prueba Xanax!
Cuerpo:

¡Hola! ¿Estás tan estresado que te pone enfermo? ¡No estas solo!
Muchas personas sufren de estrés, en estos días. Tal vez encuentres Prozac también
¿fuerte? Entonces NECESITA probar Xanax, es más suave. ¿Todavía no está convencido?
Verifique los detalles médicos en el archivo adjunto. Xanax podría cambiar
¡su vida!

Archivos adjuntos: xanax.exe

Infectar archivos EXE

El gusano busca los archivos EXE en el directorio de Windows y los infecta. Al infectar, el gusano mueve un cuerpo de archivo víctima y se escribe al principio del archivo. El gusano no infecta archivos con nombres que comienzan con E, P, R, S, T, W.

Canales de IRC

Luego, el gusano infecta al cliente mIRC si está instalado. El gusano busca el cliente mIRC en los siguientes directorios:

mirc
Program Filesmirc

en las unidades C :, D :, E: y F :. Si el cliente mIRC existe, el gusano sobrescribe el archivo de script SCRIPT.INI mIRC con un programa que envía la copia del gusano a todos los que se unen al canal infectado.

Otros comentarios

Cuando el gusano se ejecuta desde un archivo con nombre con la letra "R" como el penúltimo en un nombre de archivo (xxxRx.EXE), muestra el siguiente mensaje:

El nombre exacto como este contiene el archivo del gusano XANSTART.EXE que está registrado en la clave de ejecución automática del Registro del sistema. Entonces, el gusano muestra este mensaje en cada inicio de Windows.

El gusano también crea más archivos en el sistema:

Directorio de sistema de Windows: HOSTFILE.EXE

Directorio de Windows: WINSTART.BAT, XANAX.SYS

HOSTFILE.EXE permanece después de ejecutar un archivo de host infectado, y este archivo contiene un cuerpo puro (no infectado) del último archivo infectado ejecutado.

El archivo XANAX.SYS contiene el texto:

Win32.HLLP.Xanax (c) 2001 Gigabyte

El archivo WINSTART.BAT contiene comandos que muestran el mensaje:

No tome este medicamento con etanol, Buspar (buspirona), antidepresivos TCA, narcóticos u otros depresores del SNC. Esta combinación puede aumentar la depresión del SNC. Asegúrese de no tomar otros sedantes, benzodiazepinas o pastillas para dormir con este medicamento. Las combinaciones podrían ser fatales. No fume ni beba alcohol cuando tome Xanax. El alcohol puede disminuir la presión arterial y disminuir la frecuencia respiratoria hasta el punto de pérdida del conocimiento. Fumar tabaco y marihuana puede aumentar los efectos sedantes de Xanax.