|
EZIO.B gusano de Correo y Peer to Peer borra claves de registros bloquea acceso a sitios web de antivirus firewalls, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Ezio.B@mm, I.worm.Ezio.B@mm
Ezio.B es un gusano reportado el 21 de Abril del 2006, de propagación masiva a través de mensajes de Correo con un archivo Document.zip,
Remitentes disfrazados bajo la técnica Spoofing, Asuntos y Contenidos aleatorios.
Se propaga además vía las redes Peer to Peer.
Borra claves de llaves de registros y modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software de seguridad, saturando el tráfico a Internet.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y
Server 2003, está desarrollado en Visual Basic, con una extensión de 116 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo contenidos en archivos con las siguientes extensiones:
- asp
- cgi
- hta
- htm
- jsp
- php
- shtm
- txt
- vbs
evitando infectar direcciones que tengan las siguientes cadenas:
- edu
- gov
- mil
- qmail@
- @angelfire.com
- @cisco.com
- @cpan.org
- @eff.org
- @ethereal.com
- @example
- @foo
- @geocities
- @gnu.org
- @hotmail
- @iana
- @lists
- @lucent.com
- @msn.com
- @perl.org
- @python.org
- @relay
- @sun.com
- @tcpdump.org
- @www
- @yahoo
- abuse
- admin@
- advertising@
- announce
- anyone
- anywhere
- aol.com
- arin
- blockme
- bsd.org
- bugs@
- cert.org
- certs@
- contact@
- customer@
- daemon
- domain
- drsolomon
- example
- excite.com
- f-prot
- feedback@
- google
- grisoft.com
- help@
- ibm.com
- info@
- kaspersky
- linux
- lycos.com
- master
- mcafee
- microsoft
- mozilla
- msdn
- netscape
- news
- nobody
- noreply
- nothing
- panda
- password
- rating@
- report
- ripe-
- ripe.
- root@
- sales@
- secur
- sendmail
- service@
- sophos
- sourceforge
- spam
- submit
- subscribe
- support
- symantec
- test@
- unix
- user@
- virus
- whatever@
- whoever@
- yourname
El mensaje tiene las siguientes características:
Remitente: usa la técnica Spoofing con falsos remitentes
Asunto: Send Error Report
Contenido: Your mail could not be delivered. See the attached document for details.
Anexado: document.zip
Al ser ejecutado muestra la siguiente falsa caja de diálogo:
y luego se copia al directorio %Windir% como Svchost.exe y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Service Host" = "%Windir%\%System%\svchost.exe"
adicionalmente libera los siguientes archivos en las rutas y con los nombres:
- %Windir%\%Sysdir%\Hi.gif (archivo gráfico inócuo)
- %Windir%\%Sysdir%\clib.dat (almacena teclas digitadas)
- %Windir%\%Sysdir%\document.uu (archivo codificado conteniendo el gusano)
- %Windir%\%System%\ITADRIVER32.dll (archivo donde almacena el número de infeccciones)
al siguiente inicio del equipo ejecuta su rutina de propagación masiva de mensajes de correo y se auto-copia a las carpetas de descarga de las siguientes redes Peer to Peer:
- C:\My Downloads\
- C:\shared files\
- C:\program files\BearShare\Shared\
- C:\program files\KMD\my shared folder\
- C:\program files\KaZaa Lite\My Shared Folder\
- C:\program files\KaZaa\My Shared Folder\
- C:\program files\Morpheus\my shared folder\
- C:\program files\StreamCast\Morpheus\my shared folder\
- C:\program files\direct connect\received files\
- C:\program files\eDonkey2000\incoming\
- C:\program files\eMule\Incoming\
- C:\program files\gnucleus\downloads\
- C:\program files\gnucleus\downloads\incoming\
- C:\program files\grokster\my grokster\
- C:\program files\grokster\my shared folder\
- C:\program files\icq
- C:\program files\limeWire\shared\
- C:\programmi\BearShare\Shared\
- C:\programmi\KMD\my shared folder\
- C:\programmi\KaZaa Lite\My Shared Folder\
- C:\programmi\KaZaa\My Shared Folder\
- C:\programmi\Morpheus\my shared folder\
- C:\programmi\direct connect\received files\
- C:\programmi\eDonkey2000\incoming\
- C:\programmi\eMule\Incoming\
- C:\programmi\gnucleus\downloads\
- C:\programmi\gnucleus\downloads\incoming\
- C:\programmi\grokster\my grokster\
- C:\programmi\grokster\my shared folder\
- C:\programmi\icq\shared files\
- C:\programmi\limeWire\shared\
- C:\Programmi\StreamCast\Morpheus\my shared folder\
El gusano borra las siguientes claves:
- 32-bit Thunking service
- 9xHtProtect
- ICQ Net
- JavaVM
- MyAV
- Norton Antivirus AV
- RPCserv32
- Services
- Special Firewall Service
- SysMonX
- SysMonXP
- Tiny AV
- WINTASK
- Wxp4
- _SystemCheck
- lsass
- service
- winshost.exe
de la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
así como también las claves:
- JavaVM
- Services
- WINTASK
- _SystemCheck
- winshost.exe
de la llave de registro:
[HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
luego libera la copia comprimida del gusano, PASSWORD.ZIP, con el atributo de "oculto" en esa misma ruta, agregándole las líneas index.htm*
C:\inetpub\wwwroot\index.html
C:\inetpub\wwwroot\index.htm
e inserta las 2 líneas dentro del archivo index.htm para ejecutar y desempaquetar password.zip cada vez que se abre un archivo index.htm.
[META HTTP-EQUIV="Refresh" CONTENT="0;URL=c:\inetpub\wwwroot\password.zip"]
El gusano manipula el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a a los siguientes portales:
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 ftp.f-secure.com
- 127.0.0.1 ftp.sophos.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 kaspersky.ru
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 service1.symantec.com
- 127.0.0.1 sophos.ch
- 127.0.0.1 sophos.com
- 127.0.0.1 symantec.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 www.avp.ch
- 127.0.0.1 www.avp.com
- 127.0.0.1 www.avp.ru
- 127.0.0.1 www.ca.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.kaspersky.ru
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 www.mcafeehelp.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 www.pandasoftware.com
- 127.0.0.1 www.sophos.ch
- 127.0.0.1 www.sophos.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 www.trendmicro.com
- 127.0.0.1 www.viruslist.com
- 127.0.0.1 www3.ca.com
PER ANTIVIRUS® versiones 9.6 y 9.7 con registro de virus al 21 de Abril del 2006, detectan y eliminan eficientemente este gusano.
