BLACKWORM gusano de alta propagación masiva vía Correo
Yahoo Messenger, Agenda de Yahoo, etc. |
© Jorge Machado Lima-Perú |
|
- W32/Balckworm.C@mm (PER Antivirus)
- W32/Blueworm.D@mm (Trend Micro)
- W32/Blackmal.C@mm (Symantec)
- W32/Nyxem.C (Sophos)
- W32/Nyxem.D (F-Prot)
- W32/MyWife.C@mm (McAfee)
Emitimos el pte. boletín debido a que los principales
desarrolladores de software antivirus han propalado información sobre esta nueva especie
viral con diferentes nombres. Es este caso ha sido codificada por varias personas, las
mismas que coordinadamente o en forma individual la han propagado en variantes, algunas de
las cuales evidencian errores de programación y funcionabilidad (bugs).
Blackworm.C es un gusano reportado el 07 de Septiembre del 2004, de propagación masiva a través
de mensajes de Correo, enviados a los buzones de correo de MS
Outlook, la libreta de direcciones de Yahoo Messenger , la libreta de la Agenda de Yahoo y los contenidos en
los archivos con extensiones HTM o DBX.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual Basic, con una
extensión de 70 KB y comprimido con el utilitario UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Usando su propio SMTP (Simple
Mail Transfer Protocol) se auto-envía a las direcciones de correo que extrae de
las Libretas de direcciones arriba mencionados y de archivos con determinadas extensiones.
El mensaje
tiene 2 principales formatos con las siguientes características:
Formato 1
Remitente, cualquier dirección
capturada en los sistemas infectados o usando la técnica Spoofing con cualquiera de las
siguientes direcciones:
- ack_back06@mail.com
- thomas_gay6@iopus.com
- sandra@oxygen.com
- linda200@gmail.com
- user377@worldsex.com
- gustes@msn.com
- admin@newmovies.com
- hot_woman2362@freevideos.net
- lost_love705@yahoo.com
- King_sexy@hotmal.com
Asunto, aleatoriamente uno de los
siguientes:
- <<~SEX~>> TeenRapers.mov
- Asses Mpeg's
- FW: (-Sucking-)
- FW: **Hot Movie**
- FW: File - WebCam.mpeg
- FW: Lesbian & gays Mpeg
- Fw: My Funny Ass
- FW:RE: Least *21* Years
- FW:Re:Hot Erotic
- Re: Double suck (movie)
- RE: FW: Women Mpeg
- Re: Why? Form Back.mpg
- very hot XXX
- Video Clip
Contenido, uno de los
siguientes:
- Babe sucking black Dog MPEG
funny movie
- hey guys my name is April Goostree i am a
sexy 22 yr old bbw , 5'9, 48 dd , big ole booty, jus lovin life, until i get my pics
posted in here you can either check out my profile or join my own yahoo group
Texas-Sexy@groups.msn.com, either way works for me..i hope to become very active in this
group, i like to get to know people, like to get on cam once in a while, jus to chill,
when they aint none home..thats why its once in a while yaknow..anyways jus holla at me...
n thanks for lettin me join!!! kisses kandee..Bye
- Dozens of Free Video Clips to
download.Many Niches. Updated regularly and more added daily.Taken From Vivi's Lovely
Briefcase.
- very good movie >>> Video's Media
Player. SEX SEX * Sluts Tits Video Mpeg's Mpeg Video Clips
- Cum and check this fun group out...Sexy
ladies!! Come post your ad,..this is a real swingers group!! I'm attatching a Video Clip
of my wife if interested in checking it out!
- -==This server does not support Transfer
Big Movies==- wo Hotttt gurls sucking a hansum cock Softly
- Watch the Paris Hilton Sex Tape for Free!
- Video's Girls Erotic WebCam's Tits Mpeg's
Girls Ass SEX Pussy Video Clips
- Here is another Vclip of my daily group :|
- All kinda Women Can be Found Here To
Satisfy Women Lovers' Eyes
- u Love asses? Here is a great ass open
wide waitin for ur lil Cock
Bye
- movie attached open by media Player 7.1
- when i saw my ass i slept 3 hours why??
check my ass sorry my movie
LOOOOOOOOL joke (^!^)
Bye
- Check This ?ucking Babe ;D
?ucking = Sucking=Fucking
Anexado, uno de los siguientes:
- 17Ag_double_suck__part[2].MPEG_.scr
- April_FromTexas.MPEG_.scr
- Video_briefcase_Group[13].MPEG_.scr
- Julia_1997_Fucking.MPEG_.scr
- juanita_in_the_kitchen.MPEG.scr
- After_2AM_small_room[4].MPEG__.scr
- Graham_Hilton_Sex[4].MPEG__.scr
- WebCam_12girls_Ass.mpeg_.scr
- Shakira_Anal_very_old.MPEG.scr
- why_fuck_anal_back.MPEG.scr
- open_girl_21year.MPEG.scr
- Ricky_Gay_ass.MPEG______________.scr
- GrahamCluley_freakin_Ass_.MPEG__.scr
- Sexual_Crimes.MPEG____.scr
Aleatoriamente puede ajuntar un archivo JPG con una imagen pornográfica.
Formato 2
Asunto: Fw: Virus Alert
Contenido:
Dear User ,
This is A very High Resk Virus Alert.
This email is sent to you because one or some of your friends has been infected with The
W32.BlackWorm.A@mm Virus.
And you could be infected too. This Virus has the ability to damage the hard disk.
This Virus infects computers using many new ways :
1- it arrives as an email attachment inside of jpg pictures.
2- it infects the ip address without the victim's knowledge.
3- it infects Microsoft Word Documents using a new exploit in hex (00fxf0xf10x).
Notes:
Symantec Consumer products that support Worm Blocking functionality automatically detect
this threat as it attempts to spread.
Symantec Security Response has attached a removal tool to clean and prevent the infections
of W32.BlackWorm.A@mm.
--------------------------------------------------------------------------------
Sincerely
Norton AntiVirus
Anexado, uno de los siguientes:
- FIX_BLACKWORM.COM
- SCAN.ZIP
- SCAN.TGZ
Los de formato .ZIP y .TGZ contienen el archivo FIX_BLACKWORM.COM
Al activarse el archivo muestra la ventana de Windows
Media Player, aunque sin ejecutar ninguna función:
El gusano se copia a diversas carpetas con los siguientes nombres de archivo:
- %Windir%\Task.exe
- %Windir%\system32\About_BlackWorm.C.txt
- %Windir%\system32\Connection.exe
- %Windir%\system32\Life.jpg
- %Windir%\system32\movie_05.MP3____________.exe
- %Windir%\system32\movie009.pif
- %Windir%\system32\NOTEPADm.exe
- %Windir%\system32\Old_Password.baT
- %Windir%\system32\OSSMTP.DLL
- %Windir%\system32\PaltlkRoom.wav___________.scr
- %Windir%\system32\sound_223.mp3___________.scr
- %Windir%\system32\The_Members.PIF
- %Windir%\system32\Video_live.mpg____________.exe
- %Windir%\system32\yahoo.PIF
- %Windir%\VOLUME\NOTEPAD.EXE
- C:\Archivos de programa\Internet Explorer\Media Player.exe
Copia a la carpeta %System% los archivos:
- About_BlackWorm.C.txt (con caracteres ASCII)
- ossmtp.dll
y genera las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Notepad.exe" = "C:\WINNT\VOLUME\NOTEPAD.EXE"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = "C:\WINNT\VOLUME\NOTEPAD.EXE"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Active Setup]
"Security" = C:\WINNT\SYSTEM32\NOTEPADm.exe"
En caso que el sistema tenga instalado el utilitario WinZIP el gusano cambiará el nombre del usuario
registrado y el número de serie:
[HKEY_CURRENT_USER\Software\Nico Mak Computing\WinZip\WinIni]
"Name"="BlackWorm"
"SN"="2AD00ED6"
Para activarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" =
"C:\winnt\volume\[twunk_32.exe]"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = "C:\winnt\volume\[winhelp.exe]"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows XP y
Windows Server 2003.
La siguiente vez que se inicie el sistema, el gusano borra las siguientes claves, la
mayoría correspondientes a antivirus y software de control:
- _Hazafibb
- au.exe
- ccApp
- defwatch
- Explorer
- erthgdr
- gigabit.exe
- JavaVM
- KasperskyAv
- key
- MCUpdateExe
- MCAgentExe
- McRegWiz
- McVsRte
- McAfeeVirusScanService
- msgsvr32
- NPROTECT
- NAV Agent
- Norton Antivirus AV
- OLE
- PCClient.exe
- PCCIOMON.exe
- pccguide.exe
- PccPfw
- PCCClient.exe
- rtvscn95
- reg_key
- ScriptBlocking
- SSDPSRV
- system.
- Sentry
- ssate.exe
- Services
- tmproxy
- Taskmon
- Traybar
- Task
- VirusScan Online
- VSOCheckTask
- vptray
- Windows Services Host
- winupd.exe
- Windows Update
- win_upd.exe
- winupdt
- wersds.exe
de las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
Luego borra los siguientes archivos:
- C:\Archivos de programa\Norton AntiVirus\*.exe
- C:\Archivos de programa\McAfee\McAfee VirusScan\Vso\*.*
- C:\Archivos de programa\McAfee\McAfee VirusScan\Vso
- C:\Archivos de programa\McAfee\McAfee VirusScan\Vs
- C:\Archivos de programa\Trend Micro\PC-cillin 2002\*.exe
- C:\Archivos de programa\Trend Micro\PC-cillin 2003\*.exe
- C:\Archivos de programa\Trend Micro\Internet
Security\*.exe
- C:\Archivos de programa\NavNT\*.exe
- C:\Archivos de programa\HyperTechnologies\Deep
Freeze\*.exe
Intenta conectarse a:
http://webstats.rcn.com
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de correo dirigido a a
los buzones de MS Outlook, la libreta de direcciones de Yahoo
Messenger, la Agenda de
Yahoo y los contenidos en archivos de varias extensiones.
- Tiene varios formatos de mensajes, con Asuntos, Contenidos
y Anexados aleatorios.
- Sus formatos de Correo varían debido a que se trata de
variantes del mismo código fuente que ha sido desarrollado y compartido por varios
codificadores.
PER ANTIVIRUS® versión 8.8 con
registro de virus al 07 de Septiembre del 2004 detecta y
elimina eficientemente este gusano y sus variantes existentes y por crearse.
