Alias: HLLM.Seoul, Korvar, I-Worm.Winevar, Braid.C, Korean

El gusano de correo electrónico Winevar fue detectado a finales de noviembre en Corea y parece que su autor se inspiró en la Conferencia AVAR 2002 (Anti-Virus Researcher's Asia) celebrada en Seúl poco antes y parece intento de desacreditar a la comunidad anti-virus. 

El archivo que contiene el código viral es un ejecutable PE de Windows de unos 91 KB de longitud escrito en Visual C++ que posee diversos errores de programación que podrían provocar daños en los sistemas atacados y limitar la difusión del virus. 

Cuando se ejecuta, por tan sólo previsualizar el mensaje que lo contiene además de explotar la vulnerabilidad Microsoft VM ActiveX Componente (ya corregida por el fabricante), se copia como archivo WINxxxx.PIF en la carpeta del sistema de Windows y crea las siguientes entradas en el registro: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 

Winevar creará subentradas respecto a "Run" con los nombres que correspondan a los archivos instalados del gusano (por ejemplo "WIN1205") y también modifica el valor por defecto de la entrada Run donde se almacena la ruta de ejecución de la última copia del gusano iniciada.

A continuación, creará un dropper para el virus Funlove.4099 bajo el nombre de WINxxxx.PIF (xxxx - caracteres al azar) en el directorio del sistema. El texto original se reemplaza por la línea "~AAVAR 2002 in Seoul~".

El nombre del archivo original que contiene el virus Funlove (FLCSS.EXE) se reemplaza por AAVAR.PIF. 

Winevar realiza continuas búsquedas en el equipo de servicios y procesos que contengan las siguientes cadenas de texto con el fin de interrumpirlos: 

view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy 

La anterior rutina no se llevará a cabo si el gusano encuentra alguno de estos textos: microsoft, ms, _np, r n, cicer, irmon, smtpsvc, moniker, office, program, explorewclass 

También, efectúa escaneos de los discos duros con el fin de localizar archivos y carpetas con los siguientes nombres: antivirus, cillin, nlab o vacc. Si su búsqueda es positiva, intentará borrar todos los archivos en ellas almacenados pero, debido a un error de código, Winevar eliminará todos los archivos contenidos en el disco duro.

El gusano busca direcciones de correos electrónicos, a las que difundirse a través de un servidor SMTP configurado por defecto, dentro de archivos *.HTM y *.DBX, ignorando aquellas con el texto @microsoft. 

Los mensajes infectados pueden tener diferentes datos tanto en el cuerpo como en el asunto, el cual, se selecciona aleatoriamente de entre las siguientes variantes:

Re: AVAR(Association of Anti-Virus Asia Reseachers)
N`4 %RegisteredOrganization%
N`4 Trand Microsoft Inc.

La última variante se selecciona en caso de que no existe ninguna entrada "RegistreredOrganization" en el registro del . La cadena "N`4" es actualmente el texto "Re:" que no fue desencriptada por el gusano durante la composición del mensaje de correo.

El cuerpo del mensaje también puede variar, pudiendo ser:
 
%RegisteredOwner% - %RegisteredOrganization%

o: 

AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish. 

La información %RegisteredOwner% y %RegisteredOrganization% se extrae del registro y representa el nombre y la empresa a nombre de quien está registrada la licencia de Windows del sistema.

Los archivos adjuntos también puede ser diferentes: 

WINxxx.TXT (12.6 KB) MUSIC_1.HTM
WINxxx.GIF (120 bytes) MUSIC_2.CEO
WINxxx.PIF

Los caracteres 'xxx' son aleatorios. En algunos casos el asunto y cuerpo del mensaje pueden ser diferentes. Los archivos .CEO y .PIF son iguales y representan el archivo ejecutable que contiene el código del virus.

Cuando el gusano se difunde, añade la siguiente información a su archivo adjunto:
 
- identificador del país o región (por ejemplo: [KOR], [RUS] - para Corea y Rusia)
- fecha y hora actual
- nombre de la compañía y de usuario(extraídos del Registro) 

Utilizando estos datos es posible seguir el rastro del proceso de "migración" de la copia del gusano.

El archivo .HTM contiene la explotación del fallo VM ActiveX Component. Éste contiene un script que añadirá la extensión .CEO al Registro y los asocia con archivos ejecutables. De modo que un usuario puede ejecutar archivos con esta extensión. Esto es un fallo del virus por lo que se recomienda añadir esta extensión a la lista de extensiones escaneadas por la solución anti-virus.

En caso de que el gusano falle en su propagación o en otras ciertas circunstancias, aparecerá el siguiente mensaje en pantalla:

Make a fool of oneself
What a foolish thing you have done!

El gusano intenta de forma continua descargar la página principal del site ww.symantec.com a un archivo temporal, que luego elimina. Esta acción podría provocar un ataque de denegación de servicio (DoS) en el caso de que Winevar llegara a difundirse.

Winevar intenta copiar como archivo de nombre EXPLORER.PIF dentro de una carpeta del escrito. También contiene código que parece ser una rutina de difusión a través de red incompleta.

El gusano modifica la información de registro de Windows del equipo infectado:
 
Organización registrada: Trand Microsoft Inc.
Usuario registrado: AntiVirus

Winevar genera una mutación de si mismo con el nombre: "~~ Drone Of StarCraft~~"