Hace unos días ya informábamos del comunicado que emitía Panda Software sobre el peligro que entrañaban las felicitaciones digitales que tan habituales son en estas fechas. Desde ayer día 19, circula por Internet un nuevo gusano de difusión masiva que contiene varios payloads, algunos de ellos muy destructivos.

La amenaza denominada Maldal o Reeezak, está escrita en Visual Basic y se propaga originalmente a través de e-mail oculto dentro del adjunto CHRISTMAS.EXE de 37376 bytes. El aspecto que presenta el e-mail es el siguiente:

Asunto: Happy New Year
Texto: Hii, I can't describe my feelings But all I can say is Happy new year :-)
bye

Cuando el usuario ejecuta el adjunto, aparece una presentación de Macromedia Flash en alusión a la Navidad momento en el cual el gusano aprovecha para copiarse en el directorio del sistema bajo el mismo nombre de archivo, CHRISTMAS.EXE y crear varias entradas en el registro: una con el fin de ejecutarse en cada reinicio del equipo, otra que modificará el nombre asignado al equipo por Zacker, nombre del autor del gusano y la última, modificará la página de inicio por defecto del navegador dirigiendo al internauta a la página geocites.com/jobreee/ZaCker.htm (ya eliminada) que califica de criminales de guerra al presidente americano Bush y al general israelí Ariel Sharoon.

En el caso de que la página se abra bajo Internet Explorer, el gusano explotará una vulnerabilidad conocida respecto a los controles ActiveX (Boletín de Microsoft MS00-075) que le permitirá ejecutar código javascript malicioso que creará y ejecutará el archivo ROL.VBS en el directorio raíz de Windows cuya misión es eliminar las siguientes utilidades de seguridad:

Program Files\Zone Labs
Program Files\AntiViral Toolkit Pro
Program Files\Command Software\F-PROT95
eSafe\Protect
PC-Cillin 95
PC-Cillin 97
Program Files\Quick Heal
Program Files\FWIN32
Program Files\FindVirus
Toolkit\FindVirus
f-macro
Program Files\McAfeeVirusScan95
Program Files\Norton AntiVirus
TBAVW95
VS95
rescue

Asimismo y como es habitual en este tipo de gusano, buscará las direcciones de correo que encuentre en la agenda de Outlook para difundirse. Maldal bloqueará el teclado e intentará borrar los archivos del directorio del sistema que, en el caso de que éste sea Windows NT, está programado para provocar el colapso de la memoria del equipo creando gran cantidad de procesos y barras de título con el nombre Christmas. 

El gusano también instala el archivo DALAL.HTM en el directorio de Windows ( que contiene un link a una segunda parte del gusano) además de copiarlo en el directorio raíz de cada unidad de red mapeada junto con SERVER.VBS. Maldal copiará el contenido del primero, en cada archivo que encuentre con extensiones HTM, HTML o ASP y borrará los siguientes: LNK, ZIP, JPG, JPEG, MPG, MPEG, DOC, XLS, MDB, TXT, PPT, RAM, RM, MP3 y SWF. De cada uno que elimine, creará una copia con el mismo que el original pero añadiendo la extensión VBS.

Maldal también busca instalaciones de la aplicación mIRC con el fin de distribuir mensajes con acceso a la página web infectada a los usuarios que se encuentren conectados.

Finalmente, si el código script se ejecuta transcurridos 30 minutos desde la infección inicial,y el número de segundos es igual a cinco, intentará eliminar todos los archivos del sistema, muestra un mensaje y cerrará la sesión de Windows.

Una segunda parte del gusano se comporta de manera similar a la primera excepto que instala en el directorio del sistema el archivo OUTLOOK.VBS y lo ejecuta. Éste, enviará el siguiente mensaje a todas las direcciones encontradas en la carpeta de contactos de Outlook.

Asunto: Very important!
Texto: See this page 
http://geocities.com/Xxxxxxx/xxx.htm (dirección que apunta al virus).

En esta ocasión, VIRUSPROT.COM no sólo quiere aconsejar a los internautas que actualicen sus herramientas anti-virus y parcheen los agujeros de seguridad sino también, que utilicen los tradicionales crismas para felicitar estas fiestas.