W32/Duel@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Infector, gusano y troyano con payload destructivo el día 29 de cada mes

Nombre de virus: W32/Duel@MM
Alias conocidos: Email-Worm.Win32.Luder.a, Win32.Worm.Luder.A, WORM_LUDER.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero
Detección: desde DATS 4887
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Duel@MM es la detección de un virus infector de ficheros .EXE y .SCR, y a la vez gusano masivo de correo electrónico, y troyano de acceso remoto tipo IRC Bot. Los ficheros infectados por este malware se detectan como w32/Duel

Los días 29 de cada mes intenta destruir ficheros con las siguientes extensiones:
.ace, .avi, .doc, .iso, .jpg, .mdb, .mp3, .mpg, .pdf, .ppt, .wmv, .xls, .zip

Características

W32/Duel@M está escrito en Microsoft Visual C++ y contiene funcionalidad limitada para acceso remoto IRC no autorizado. Su componente mass mail utiliza un propio motor SMTP, y se envía a las direcciones de correo que recopila del equipo infectado.

Tras su ejecución, crea una copia en el directorio de sistema de Windows:

%Windir%\%SYSDIR%\Duel.exe

Añade los siguientes valores al registro para autoiniciarse cuando arranque Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Win32_Duel" = "%Windir%\%SYSDIR%\Duel.exe"

Modifica la siguiente clave de registro para desactivar los servicios de Firewall de Windows Xp.

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = "4"

Intenta finalizar procesos que tengan los siguientes nombres:

mcafee
taskmgr
hijack
f-pro
lockdown
msconfig
firewall
blackice
vsmon
zonea
spybot
nod32
reged
troja
viru
anti

Intenta detener procesos que tengan los siguientes títulos.

Registry Editor
Anti
Anti-Malware

Crea el siguiente mutex para asegurarse que sólo pueda correr una instancia de W32/Duel@MM

Win32.Duel (c) 2006

Crea un informe detallado que contiene información de cada infección exitosa y fallida, direcciones de email recopiladas, etc..

%Windir%\Duel.log

Consulta www.google.com para comprobar si la máquina infectada está conectada a Internet.

Intenta conectarse a un servidor y canal IRC en el puerto TCP 6667 y anunciar su presencia.

irc.under[Eliminado].org
#england

Síntomas de infección

W32/Duel@MM utiliza partes no utilizadas del fichero original ("cavidades") para infectar ejecutables, por tanto estos no crecerán en tamaño. No infecta ficheros si no encuentra suficiente espacio disponible al final de la primera sección.

Busca ficheros PE y los infecta como sigue :

Inserta código vírico al final de la primera sección.
Cambia el punto de entrada original al inicio del código vírico.
El código insertado actúa como un salto al punto de entrada original.
Genera una copia de sí mismo llamada "random file.duel" en la misma ubicación que el fichero host original.

W32/Duel@MM también busca archivos .rar y les añade una copia de sí mismo. Al disponer de un motor propio rar no necesita que WinRar esté instalado en el equipo infectado.

Propagación por Correo Electrónico

Cuerpo de Mensaje

W32/Duel@MM recopila direcciones de correo electrónico para su propagación, y construye un mensaje con las siguientes características:

From: (Cualquiera de los siguientes)

Aldora
Alysia
Amorita
Anita
April
Aretina
Barbra
Becky
Bella
Bettina
Blenda
Briana
Bridget
Caitlin
Camille
Cara
Carla
Carmen
Chelsea
Clarissa
Damita
Danielle
Daria
Diana
Donna
Dora
Doris
Ebony
Eden
Eliza
Emily
Erika
Evelyn
Faith
Gale
Gilda
Gloria
Haley
Helga
Holly
Idona
Iris
Isabel
Ivana
Ivory
Janet
Jewel
Joanna
Julie
Juliet
Kacey
Kali
Kara
Kassia
Katrina
Kyle
Lara
Laura
Linda
Lisa
Lolita
Lynn
Maia
Mary
Melody
Mimi
Myra
Nadia
Naomi
Natalie
Nicole
Nina
Nora
Nova
Olga
Olivia
Pamela
Peggy
Queen
Rachel
Rita
Rosa
Ruby
Sharon
Silver
Valda
Valora
Vanessa
Vicky
Violet
Vivian
Wendy
Willa
Xandra
Xenia
Xylia
Zenia
Zilya

Asunto: (Cualquiera de los siguientes)

Love...
Valentine (a little late)
A kiss for a smile
Me and you
True feelings
My heart
Yours forever
Thee and me

Mensaje: (Cualquiera de los siguientes)

I wrote your name in the sky,
but the wind blew it away.
I wrote your name in the sand,
but the waves washed it away.
I wrote your name in my heart,
and forever it will stay.

I love the way you touch me,
Always sending chills down my spine.
I love that you are with me,
And glad that you are mine.

I love the way you make me so happy,
And the ways you show you care.
I love the way you say, I Love You,
And the way you're always there.

I love the way you look at me,
Your eyes so bright and blue.
I love the way you kiss me,
Your lips so soft and smooth.

If I could have just one wish,
I would wish to wake up everyday
to the sound of your breath on my neck,
the warmth of your lips on my cheek,
the touch of your fingers on my skin,
and the feel of your heart beating with mine...
Knowing that I could never find that feeling
with anyone other than you.

My love, I have tried with all my being
to grasp a form comparable to thine own,
but nothing seems worthy;

And though at times a thread may break
A new one forms in its wake
To bind us closer and keep us strong
In a special world, where we belong.

Its fingers spread like fine spun gold
Gently nestling us to the fold
Bonds like this are meant to last.

A special world for you and me
A special bond one cannot see
It wraps us up in its cocoon
And holds us fiercely in its womb.

Adjunto: (Cualquiera de los siguientes)

WantsU.exe
My heart.exe
A smile.exe
Forever.exe
My love.exe
My desire.exe
My hope.exe
My wish.exe
The sky.exe

Detección y eliminación

W32/Duel@MM se controla desde los DAT 4887 . Para su eliminación se recomienda reiniciar el equipo en 'modo seguro' y pasar una exploración a todos los ficheros del sistema infectado.

SATINFO, VIRUSCAN SPAIN SERVICE 23 de Noviembre de 2006