Gibe.C

Gibe.C produce los siguientes efectos:

• Finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos.
  Para más información acerca de los procesos terminados, pulse aquí.
• Si no encuentra información confidencial a través del correo electrónico, muestra mensajes por pantalla para tratar de conseguir dicha información confidencial del usuario afectado, como la dirección de correo electrónico, contraseñas de cuentas de correo, nombre de servidores de correo, etc.
• Desactiva el Editor de Registro de Windows.

Gibe.C crea los siguientes ficheros en el directorio de Windows:

• Un fichero de 8 caracteres con nombre aleatorio. Este fichero es una copia del gusano y tiene extensión EXE.
• %computer%.BAT, donde %computer% es el nombre del ordenador afectado. Este fichero contiene el código que ejecutará la copia del gusano mencionada anteriormente.
  
• SWEN1.DAT. Este fichero contiene una lista de servidores a los que el gusano se conectará para propagarse por diferentes grupos de noticias, utilizando el protocolo NNTP.
• GERMS0.DBV. Este fichero contiene las direcciones de correo electrónico que ha recogido en el ordenador afectado.

Gibe.C crea varios ficheros en una carpeta con nombre aleatorio en el directorio C:\ WINDOWS\ TEMP. Estos ficheros son copias del gusano, o ficheros comprimidos en formato ZIP que contienen una copia del gusano. Los nombres aleatorios de estos ficheros siguen este patrón:

• Escoge nombres de una lista que se encuentra en su código :
  10.000 SERIALS
  AOL HACKER
  COOKING WITH CANNABIS
  EMULATOR PS2
  HALLUCINOGENIC SCREENSAVER
  HARDPORN
  HOTMAIL HACKER
  JENNA JAMESON
  MAGIC MUSHROOMS GROWING
  MY NAKED SISTER
  SEX
  SICK JOKE
  VIRUS GENERATOR
  XBOX EMULATOR
  XP UPDATE
  XXX PICTURES
  XXX VIDEO
  YAHOO HACKER
• Realiza combinaciones (Lista 1 + Lista 2 + Lista 3 + Lista 4) con palabras de las siguientes listas:
  
  Lista 1:
  BUGBEAR, GIBE, KLEZ, SIRCAM, SOBIG, YAHA
  
  Lista 2:
  CLEANER, FIXTOOL, REMOVAL TOOL, REMOVER
  
  Lista 3:
  DOWNLOAD ACCELERATOR, GETRIGHT FTP, KAZAA, KAZAA LITE, KAZAA MEDIA DESKTOP, MIRC, WINAMP, WINDOWS MEDIA PLAYER, WINRAR, WINZIP
  
  Lista 4:
  HACK, HACKED, INSTALLER, KEY GENERATOR, UPLOAD, WAREZ

Gibe.C crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ENTRY NAME.EXE autorun
  donde ENTRY es  un nombre aleatorio de la entrada (8 caracteres) y NAME es un nombre aleatorio del fichero creado en el directorio de Windows.
  Con ello, consigue ejecutarse cada vez que se inicia Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System "DisableRegistryTools" 1
  Con ello, desactiva el Editor de Registro de Windows.

Gibe.C modifica las siguientes entradas en el Registro de Windows:

• HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
  "(Default)" NAME.EXE "%1" %*
• HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
  "(Default)" NAME.EXE "%1" %*
• HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
  "(Default)" NAME.EXE "%1" %*
• HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
  "(Default)" NAME.EXE "%1" %*
• HKEY_CLASSES_ROOT\ scrfile\ shell\ config\ command
  "(Default)" NAME.EXE "%1"
• HKEY_CLASSES_ROOT\ scrfile\ shell\ open \command
  "(Default)" NAME.EXE "%1" /S
  Con ello, Gibe.C consigue ejecutarse cada vez que un fichero con extensión BAT, COM, EXE, PIF y SCR sea abierto.
• HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command
  "(Default)" NAME.EXE showerror 
  Con ello, no permite restaurar el Registro de Windows con un fichero que tenga extensión REG. A continuación, muestra el siguiente mensaje de error:
  
  
  

Gibe.C se propaga a través del correo electrónico, del programa de intercambio de ficheros (P2P) KaZaA, de unidades de red compartidas, por IRC y por el grupo de noticias.

1.- Propagación a través del correo electrónico.

Cuando Gibe.C llega en un mensaje de correo electrónico, utiliza varios tipos de mensajes, cada uno con diferentes características:

• Mensaje tipo 1:
  Un mensaje en formato HTML que simula a la perfección la apariencia de la página web de Microsoft, para hacer creer al usuario que el fichero adjunto es un parche de seguridad.
  
  Remitente:
  Es ficticio y está compuesto de una combinación de palabras de los siguientes grupos:
  MS, Microsoft
  Corporation, Program, Internet, Network, Security
  Division, Section, Department, Center, Technical,
  Public, Customer
  Bulletin, Services, Assistance, Support
  Por ejemplo: MS Technical Assistance
  
  La dirección también es ficticia y está formada por una combinación de palabras, siguiendo este patrón:
  Texto aleatorio + @ + Palabra de la lista 1 + (. + Palabra de la lista 2) + dominio
  Lista 1: support, technet, updates, advisor, confidence, bulletin, new, newsletter
  Lista 2: ms, msdn, msn, microsoft
  dominio: com o net
  Por ejemplo: kadjfoie@technet.msdn.com
  
  Asunto:
  Está compuesto de una combinación de las siguientes palabras:
  Current, Newest, Last, New, Latest
  Net, Network, Microsoft, Internet
  Security, Critical
  Patch, Update, Pack, Upgrade
  
  Mensaje:
  Variable. El siguiente es sólo un ejemplo:
  
  
  Lista 1: MS, Microsoft
  Lista 2: User, Partner, Customer, Client
  Lista 3: eliminates, resolves, fixes
  Lista 4: newly discovered, new
  Frase 1: continue keeping your computer secure
  Frase 2: help
  Frase3: protect your computer
  Frase 4: maintain the security of your computer
  Frase 5: from these vulnerabilities
  Frase 6: the most serious of which could allow an attacker/malicious user to run executable/code on your system/computer
  
  El mensaje está formado por una combinación de palabras de las anteriores listas.
  
  Palabra de la lista 1 + Palabra de la lista 2
  This is the latest version of security update, the “%mes y año de la fecha del sistema%, Cumulative Patch" update which Palabra de la lista 3 all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three Palabra de la lista 4 vulnerabilities.
  
  Install now to Combinación de frases: 1+5, 1+5+6, 2+3, 2+3+5, 2+3+5+6, etc. This update includes the functionality of all previously released patches.
  
  Fichero adjunto:
  Siempre tendrá extensión EXE y el nombre del fichero adjunto seguirá este patrón:
  Palabra + número aleatorio, perteneciendo la palabra a la siguiente lista:
  Q
  Installer
  Installation
  Install
  Update
  Upgrade
  Patch
  Pack
• Mensaje tipo 2:
  Un mensaje que simula ser un error en el envío de un correo mandado por el usuario.
  
  Remitente:
  Puede ser original, uno de los siguientes: Admin, Administrator, Postmaster, o una combinación de las siguientes palabras: Delivery, Email, Inet, Internet, Mail, Message, Net, Network, Service, Storage, System.
  
  La dirección está formada mediante el siguiente patrón:
  Letra + Palabra de la lista 1 + Palabra de la lista 2 + @ + Palabra de la lista 3 + . + dominio
  Letra: una letra de la A a la Z no siempre incluida.
  Lista 1: email, mail, mailer, master, post, smtp, web
  Lista 2: automat, bot, daemon, engine, form, program, robot, routine, service
  Lista 3: America, AOL, bigfoot, freemail, microsoft, netmail, puremail, rocketmail, yahoo
  Dominio: com, net
  Por ejemplo:  apostdaemon@netmail.net
  
  Asunto:
  Sigue uno de dos patrones:
  Lista 1 + Lista 2
  Lista 1: abort, bug, error, failure
  Lista 2:  advice, announcement, letter, message, notice, report
  Por ejemplo:  failure report
  o también podría ser: Lista 3 + Lista 4 + : + Lista 5
  Lista 3:  returned, undelivered, undeliverable
  Lista 4: mail, message
  Lista 5: returned to Sender, returned to Mailer, user unknown
  Por ejemplo: undelivered message: user unknown
  
  Mensaje:
  Realiza una combinación con las siguientes frases.
  Frase 1:  I'm afraid, I'm sorry to have to inform you that, I'm sorry, I wasn't able to deliver your message
  Frase 2: the message returned below could not be delivered
  Frase 3: to the following addresses, to one or more destinations
  Frase 4:  undeliverable, undelivered
  Frase 5:  message, mail
  Phrase 6: to email, donde email es una dirección aleatoria de uno de los dominios America, AOL, bigfoot, freemail, microsoft, netmail, puremail, rocketmail, yahoo que tengan sufijo com o net.
  Phrase 7: message follows
  
  Fichero adjunto:
  El fichero adjunto es un nombre aleatorio con extensión EXE, COM, SCR, BAT o PIF.
• Mensaje tipo 3:
  Algunas variantes realizan los siguientes cambios en los mensajes originales de este gusano:
  - Los enlaces a la página web de Microsoft los cambia por la de un proveedor de servicios de Internet Italiano (cambia la página a la que se enlaza, pero no el texto del enlace).
  - En el contenido del mensaje, el gusano cambia el texto que precede a la tabla de requisitos del sistema por Questo programma consente al vosto PC.
  - Cambia la palabra Microsoft por la de un proveedor de servicios de Internet Italiano y por el nombre propio Renato.
  
  A continuación, se muestran varios ejemplos de estas variaciones:
  Ejemplo 1:
  RENATO SORU FOR PRESIDENT THE BEST GUIDE IN SARDINIA OF ULIVO
  RENATO SORU THE BEST                            web site.
  http://WWW.TISCALINET.IT/ 
  VOTA RENATO SORU VOTA RENATO SORU DAL SUPERMARKET AD INTERNET !!!
  visit the Microsoft Security Advisor web site
  http://www.tiscalinet.iT/security/
  Thank you for VOTE RENATO SORU PRESIDs.
  Please VOTE RENATO SORU     message.
  It was sent from an unmonitored e-mail address and we are unable to respond to any replies.
  ----------------------------------------------
  I NOMI DELLE VOSTRE MOGLI SONO ARCHIVIATI PRESSO LA TISCALI PER GARANTIRLE UNA VITA SERENA E NEL COMUNISMO !!!!!.
  
  Ejemplo 2:
  tiscali SEX SERVICES PORN Services and Knowledge Base articles
  can be found on the Microsoft Technical Support web site.
  http://support.microsoft.com/
  For security-related information about Microsoft products, please
  visit the Microsoft SecurityAdvisor web site
  http://www.microsoft.com/security/
  Thank you for using Microsoft products.
  Please do not reply to this message.
  It was sent from an unmonitored e-mail address and we are unable to respond to any replies.
  ----------------------------------------------
  The names of the actual companies and products mentioned
  herein are the trademarks of their respective owners.

Cuando el usuario abre el fichero adjunto, o Gibe.C aprovecha la vulnerabilidad iFrame, el ordenador queda infectado.

Gibe.C busca direcciones de correo electrónico en ficheros con extensión EML, WAB, DBX y MDX, y envía a las mismas una copia de sí mismo, empleando para ello su propio motor.

2.- Propagación a través de KaZaA.

Gibe.C realiza el siguiente proceso:

• Realiza copias de sí mismo en los directorios compartidos del programa de intercambio de ficheros (P2P) KaZaA.
  
  Escoge nombres de una lista que se encuentra en su código:
  10.000 SERIALS
  AOL HACKER
  COOKING WITH CANNABIS
  EMULATOR PS2
  HALLUCINOGENIC SCREENSAVER
  HARDPORN
  HOTMAIL HACKER
  JENNA JAMESON
  MAGIC MUSHROOMS GROWING
  MY NAKED SISTER
  SEX
  SICK JOKE
  VIRUS GENERATOR
  XBOX EMULATOR
  XP UPDATE
  XXX PICTURES
  XXX VIDEO
  YAHOO HACKER
• O también podría elegir como nombre diversas combinaciones de palabras de las siguientes listas (Lista 1 + Lista 2 + Lista 3 + Lista 4):
  
  Lista 1:
  BUGBEAR, GIBE, KLEZ, SIRCAM, SOBIG, YAHA
  
  Lista 2:
  CLEANER, FIXTOOL, REMOVAL TOOL, REMOVER
  
  Lista 3:
  DOWNLOAD ACCELERATOR, GETRIGHT FTP, KAZAA, KAZAA LITE, KAZAA MEDIA DESKTOP, MIRC, WINAMP, WINDOWS MEDIA PLAYER, WINRAR, WINZIP
  
  Lista 4:
  HACK, HACKED, INSTALLER, KEY GENERATOR, UPLOAD, WAREZ 
• Otros usuarios de dichos programas podrán acceder de forma remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Gibe.C, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Gibe.C.

3.- Propagación a través de unidades de red compartidas.

Gibe.C realiza el siguiente proceso:

• Comprueba si el ordenador afectado se encuentra conectado a una red.
• Intenta acceder a unidades de red compartidas.
• Si lo consigue, realiza copias de sí mismo en el directorio de Inicio de dichas unidades compartidas.

4.- Propagación a través de IRC.

Gibe.C realiza el siguiente proceso:

• Sólo utiliza este método de propagación si encuentra el programa mIRC instalado.
• Espera hasta que el usuario se conecta a un canal de chat IRC.
• Envía una copia de sí mismo a todos los usuarios que se encuentren conectados al canal en ese momento.

5.- Propagación a través del grupo de noticias (NNTP).

Gibe.C trata de conectarse a una listade servidores localizados en el fichero SWEN1.DAT para propagarse a todas las direcciones de correo electrónico recogidas en el fichero GERMS0.DBV.

Gibe.C está escrito en el lenguaje de programación Visual C++. El gusano tiene un tamaño de 106496 Bytes.

Las variantes de este gusano tienen un tamaño de 52224 Bytes, comprimidas mediante UPX.