De origen desconocido, el W32/Oror@MM es un gusano de tipo "mass-mailing" que se distribuye vía recursos compartidos o unidades de red mapeadas. El gusano también descarga un backdoor (mIRC script), deshabilita cierto software de seguridad, y borra archivos y carpetas. El Oror llega en un mensaje de correo electrónico conteniendo la siguiente información:

Posibles "Subjects": · :)
· aBcDeFgHiJkLmNoPqRsT..
· Blondies forever!! :)
· Blondinkii:)
· Don't cry
· HeY :)
· HeY..
· Hi!!
· Miracle
· Ohoo!!
· Pisamce
· TinKi WinKy!!
· Vajno!!
· Very Important
· WoWoWoWOWowo..
· yoOo ;)
· Zdrasti..

Posibles "Anexos":

· [TNT]!CC geN.exe
· Blondies.exe
· Candy.exe
· Faith.exe
· Fun.exe
· Kama Sutra.exe
· Love.exe
· Magic.exe
· mTV Charts.exe
· mTV.exe
· Osama Your Mamma.exe
· Pamela.exe
· Panda Anti-Worm.exe
· Setup.exe
· Smile.exe
· Sorry.exe
· TNT!CC gEN.exe
· Zodiak.exe

Cuando es ejecutado, el gusano muestra un falso mensaje de alarma como se muestra a continuación:

Además de lo anterior, copias del Oror son guardadas en el directorio raiz conteniendo los siguientes nombres de archivos:

· Britney Spears Naked.exe
· CrEdIt CaRdZ gEn.exe
· Faith.exe
· GiRlZ FoReVeR (Wow).exe
· Kama Sutra.exe
· Kurnikova Screensaver (6+).exe
· Nikita v1.1 (Zip).exe
· Pamela Anderson (Porno Installation).exe
· SeX.eXe
· Teen Sex Cam.exe

Una lista de archivos compartidos de redes y de unidades de red mapeadas y disponibles, son guardadas hacia la ruta de C:\Shares.txt. El gusano utiliza esta información para copiarse hacia las localidades listadas.

El Oror también selecciona aplicaciones de la carpeta de Program Files, para "imitarlas". Lo anterior es realizado a través de la selección de un archivo, y son adicionados 16, 32 o 2Kb al final del mismo. Lo anterior puede resultar también en la escritura de otras aplicaciones, como \Program Files\Winzip\Winzip32.exe. Podemos también notar que una llave de registro es creada, para que el gusano sea cargado en el momento de la inicialización de la maquina:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\%Executable filename%=%Worm Executable%

Una copia del gusano se guarda para el directorio de Windows\System, utilizando el nombre de un archivo ya existente, localizado en ese mismo directorio, y haciendo alteraciones en el archivo Win.ini.

El gusano también se copia para el directorio de instalación de Windows, como RUNDLL16.EXE y agrega una llave de registro para que el archivo sea cargado:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ LoadCurrentProfile=Rundll16.exe powprof.dll,LoadCurrentUserProfile

Note que el nombre del archivo creado por el gusano es el Rundll16, y no Rundll32 !!!

El Oror también para los procesos de ejecución que contienen las siguientes cadenas de caracteres:

· agent
· alarm
· iomon
· msie
· mstask
· nai_vs_stat
· navap
· scan
· shield
· webcheck

Este gusano borra también los archivos de carpetas y subcarpetas que tengan las siguientes cadenas de caracteres:

· "black" and "ice"
· "norton" and "virus"
· "pc" and "cillin"
· avp
· kaspers
· mcafee
· panda
· zone and labs

Podemos notar también que una línea es agregada en el archivo MSDOS.SYS: Win=%WinDir%

Finalmente, el archivo 'mirc.ini' es modificado para referenciar un archivo lanzado por el gusano, con el nombre de notes.ini, alias.ini, server.ini o popup.ini, tornando el cliente mIRC disponible para un ataque remoto, donde algunas funciones son ejecutadas en el sistema, como por ejemplo:

· Restarting and Shuting Down Windows
· Sending and receiving files
· Executing shell commands
· Sending SMTP mail
· Accessing URLs
· Initiating a Denial of Service attack

El Oror almacena su información de configuración en el siguiente archivo: %WinDir%\Winfile.dll McAfee Security considera al virus W32/Oror@MM como Riesgo Bajo debido al numero de reportes recibidos por McAfee a nivel mundial. McAfee Security recomienda que los productos de antivirus sean actualizados semanalmente, además de estar configurados para la protección de archivos comprimidos (Compressed Files).

• Tres nuevos virus
• Nuevo virus PWS-MSNCrack
• Nuevo virus W32/Vig.worm