VBS/Gedzac.B

Gedzac.B es un gusano reportado el 09 de Setiembre del 2008 de ejecución automática que se propaga por correo MultiSPAM, servicios de compartimiento de archivos Peer to Peer y redes de correo gratuito basadas en la web.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Es un Visual Basic Script, con 267 KB de extensión.

Ha sido desarrollado por un miembro del grupo GEDZAC Labs, fundado por el mexicano conocido como Kuasanagui, y que hace unos años aglutinó a codificadores de virus de diversos paises, destacando entre ellos Falckon de México, ErGrone de Chile y peruanos Machine Dramon, Malvinas y eMarts.

http://www.gedzac.com/

Cuando este gusano ingresa a un sistema se copia a la carpeta %System% con los siguientes nombres:

%System%\AvrilLavigne.jpg (imagen usada como disfraz para atraer a los usuarios incautos)
%System%\iw.dat (macros)
%System%\iwn.dat (macros)
%System%\ix.dat (macros)
%System%\ixn.dat (macros)
%System%\pkzip.exe (extractor de archivos)
%System%\regsrv.exe (deshabilitador de antivirus)
%System%\sendi.exe (aplicación propietaria de envio de mensajes de correo)

el gusano libera copias de sí mismo en la misma carpeta:

%System%\File.vbs
%System%\FILEZIP.ZIP
%System%\GEDZAC.vbs
%System%\Israfel.vbs
%System%\Kernel32.win
%System%\mouse_configurator.win
%System%\Template.htm
%System%\winmgd.win

El archivo FILEZIP.ZIP es una copia empaquetada del gusano que es enviada por correo bajo la modalidad MultiSPAM.

Para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel21" = "%System%\Kernel32.win"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Israfel = %System%\Israfel.vbs"

Para afectar el funcionamiento del mouse edita el archivo "win.ini"

[windows]
run = %System%\mouse_configurator.win

para afectar el sistema de Inicio de Windows edita el archivo "system.ini"

[boot]
shell=Explorer.exe %System%\winmgd.win

Para cambiar los iconos de Windows al icono de DLL crea el registro:

[HKEY_CLASSES_ROOT\winfile]
DefaultIcon = %SystemRoot%\System32 shell32.dll,-154

Para ejecutar archivos con WScript crea el registro:

HKEY_CLASSES_ROOT\winfile\Shell\Open\Command = %System%\WScript.exe %1" %*"

Para generar plantillas infectadas de Outlook Express crea las llaves:

[HKEY_CURRENT_USER\Identities\xxx\Software\Microsoft\Outlook Express\xxx\Mail]
Message Send HTML" = dword:00000001
[HKEY_CURRENT_USER\Identities\xxx\Software\Microsoft\Outlook Express\xxx\Mail]
Compose Use Stationery" = dword:00000001
[HKEY_CURRENT_USER\Identities\xxx\Software\Microsoft\Outlook Express\xxx\Mail]
Wide Stationery Name = %System%\Template.htm
[HKEY_CURRENT_USER\Identities\xxx\Software\Microsoft\Outlook Express\xxx\Mail]
Stationery Name" = %System%\Template.htm

para deshabilitar el Editor de Registros de Windows:

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
DisableRegistryTools = dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = dword:00000001

para disminuir la seguridad de MS Word y Excel crea las sub-llaves:

[HKEY_USERS\xxx\Software\Microsoft\Office\xxx\Excel\Security]
Level = dword:00000001
[HKEY_USERS\xxx\Software\Microsoft\Office\xxx\Word\Security]
Level = dword:00000001

Para propagarse a través de redes Peer to Peer busca en todas las unidades de disco las carpetas con cadenas "share" y "download" copiando a las mismas una extensa lista de archivos con extensión .EXE

Finalmente activa su archivo de envio masivo de correo MultiSPAM.

PER ANTIVIRUS® versión X6 con registro de virus al 09 de Setiembre del 2008 detecta y elimina este gusano.