Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Wapplex.C no tiene efectos destructivos, se limita a propagarse al mayor número de ordenadores posible.
Metodo de Infección
Wapplex.C crea una copia de sí mismo con nombre aleatorio en el directorio de sistema de Windows.
Además, crea los siguientes archivos en los directorios raíz de todas las unidades del sistema:
- Archivos con extensión EXE: SEDUCTION SECRETS.TXT .EXE, WALLPAPER.EXE, WINDOWS SERIAL NUMBER.DOC .EXE.
- Archivos con extensión JPG: ANNA.JPG, BUSH.JPG, GOOGLEHACK.JPG, ME.JPG, MY PASSWORDS.JPG, MYSEXPICTURE.JPG, MYWIFE.JPG, OURNEWCAR.JPG, OURNEWHOUSE.JPG, WINDOWS SERIAL NUMBER.JPG.
Wapplex.C crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
windows_startup = %sysdir%\%nombrealeatorio%
donde %nombrealeatorio% es el nombre con el que el gusano se copia en el sistema.
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
windows_startup = %sysdir%\%nombrealeatorio%
Mediante estas entradas, Wapplex.C consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ lanmanserver\ Shares\%nombresubdirectorio%
donde %nombresubdirectorio% corresponde a uno de los siguientes nombres:
DVD_INFO
FREE
H_CORE
L_THIS
LUNCH
MP3
MY_STAFF
NEW_VIDEO
PHOTO
SHDOCS
TAKE_IT
VIDEO
XXX
Mediante esta entrada, Wapplex.C consigue añadir estos subdirectorios como recursos compartidos.
Método de Propagación
Wapplex.C se propaga a través de recursos compartidos, unidades mapeadas y correo electrónico.
1.- Propagación a través de recursos compartidos.
Wapplex.C realiza el siguiente proceso:
- Crea el siguiente directorio:
DOCUMENTS AND SETTINGS\%usuario%\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINTOOLS
donde %usuario% es el nombre de usuario del usuario afectado. - A su vez, crea las siguientes subcarpetas en dicho directorio:
DVD_INFO
FREE
H_CORE
L_THIS
LUNCH
MP3
MY_STAFF
NEW_VIDEO
PHOTO
SHDOCS
TAKE_IT
VIDEO
XXX
donde crea copias de sí mismo. - Después, estos directorios se añaden como recursos compartidos del ordenador.
2.- Propagación mediante unidades mapeadas.
Wapplex.C crea copias de sí mismo en las unidades mapeadas del ordenador afectado.
3.- Propagación por correo electrónico.
Wapplex.C realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo electrónico con las siguientes características:
Asunto:
!!
Action
Beauty
Bush
FIFA
Helo
Hi
important
Incredible!!
info
Kiss
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Ola
Olympus
Paula
pics
RE:
Re:
Re: hi
Re: info
RE: pic
Re:hi
Re:info
read this
Robert
Sex
Contenido:
Hi !!!
%cadena de caracteres aleatorios%
%cadena de caracteres aleatorios%
--
Best Regards
El siguiente es un ejemplo:
Hi !!!
snIBNJpELTLPWWEGJxJgZ
mENSyzUBEtPCgqPJwJa
--
Best Regards
Archivos adjuntos:
Wapplex.C se adjunta de diversas maneras:
- como archivo ejecutable comprimido con formato ZIP.
- como un archivo de imagen JPG que explota la vulnerabilidad WMF.
- como un archivo de imagen JPG comprimido que explota la vulnerabilidad WMF.
en estos dos últimos casos, la vulnerabilidad WMF permite la ejecución de código remoto, con lo que se ejecutaría Wapplex.C. - El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
- Wapplex.C busca direcciones de correo electrónico en varios archivos del ordenador.
- Después, envía una copia de sí mismo a las direcciones que ha recogido.
Otros Detalles
Wapplex.C tiene un tamaño de 83456 Bytes.