HIMU gusano de correo y P2P deshabilita antivirus firewalls Explorador de Windows modifica el HOSTS, etc.  

© Jorge Machado  Lima-Perú

W32/Himu@mm  

Himu es un gusano reportado el 16 de Julio del 2007, residente en memoria, que se propaga en mensajes de correo, infecta redes Peer to Peer, deshabilita antivirus, firewalls y software de control. 

Inhabilita funciones del Explorador de Windows, desestabiliza el Microsoft Windows Security Centre, modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software antivirus.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Está desarrollado en Assembler y comprimido con rutinas propias.

Haciendo uso de su propio SMTP (Simple Mail Transfer Protocol) se enviará a las direcciones de correo contenidas después de la cadena "mailto:", de los archivos con las siguientes extensiones:

El mensaje tiene las siguientes características:

Remitente, uno de los siguientes: 

Asunto, uno de los siguientes:

Contenido:

To whom it may concern, We at www.rab.gov.bd are just warning all the online users to watch out for suspicious activities. 
If you would like to know more about how to report another new violence then please send a mail to us.
Thank you for your time.

Anexado, uno de los siguientes: 

al activarse se copia a las siguientes rutas, con los nombres de archivos:

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Himu" = "D:\SystemVoliumeInfo\services.exe"

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

Para restringir el acceso de los usuarios a determinadas aplicaciones del Explorador de Windows crea la sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"RestrictRun" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"RestrictRun1" = "msconfig.exe" 

Para marcar las infecciones en el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Razaker]

Para deshabilitar funciones y componentes del McAfee Security modifica los valores de sus llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\notify\Global]
"{e9d2660c-c448-4ec6-a193-b2f87f3e212f}" = "45 6D 61 69 6C 53 63 61 6E 3A"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\notify\Global]
{B86251C4-A3DD-43fe-8970-6E564B3797EE}" = "56 53 4F 3A"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\VSO]
"AutoClean" = "04 00 00 00 03 00 00 00 90 13 86 90 FB DA 42 46 33 13 85 66 20 E7 3B F5 33 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\EmailScan]
"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\EmailScan]
"SMTPStatus" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS]
"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS]
"Pattern" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS]
"MaxRcpt" = "04 00 00 00 03 00 00 00 D2 74 D6 56 F5 90 23 CC 55 6E 34 3D 4B 16 80 63 2C 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS]
"MinTimeLimit" = "04 00 00 00 03 00 00 00 02 82 11 59 B6 C6 81 AD 4A 6C AD A6 9E A4 4E 09 01 1A 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\ScriptStopper]
"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\FT]
"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\ActiveShield]
"VirusMapPostPermit" = 04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\Quarantine]
"QuarantinePath" = "9E 00 00 00 08 00 00 00 AD 03 D5 AA 38 58 56 A9 64 CE 6C 6C E1 8D 38 59 D6 9E A4 9E C2
9E DA 9E F1 9E FD 9E EB 9E F3 9E FB 9E F0 9E EA 9E ED 9E BE 9E FF 9E F0 9E FA 9E BE 9E CD 9E FB 
9E EA 9E EA 9E F7 9E F0 9E F9 9E ED 9E C2 9E DF 9E F2 9E F2 9E BE 9E CB 9E ED 9E FB 9E EC 9E ED 9E C2
9E DF 9E EE 9E EE 9E F2 9E F7 9E FD 9E FF 9E EA 9E F7 9E F1 9E F0 9E BE 9E DA 9E FF 9E EA 9E FF 9E C2 
9E D3 9E FD 9E DF 9E F8 9E FB 9E FB 9E B0 9E FD 9E F1 9E F3 9E C2 9E C8 9E CD 9E D1 9E C2 9E CF 
9E EB 9E FF 9E EC 9E FF 9E F0 9E EA 9E F7 9E F0 9E FB 9E 9E 9E"

Para deshabilitar el Microsoft Windows Security Centre modifica los valores de las sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "00000000"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = "00000000"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = "00000000"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallOverride" = "00000000"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify" = "00000000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"limitblankpassworduse" = "0x00000000"

También deshabilita las funciones del Norton Anti-Virus.

Crea los siguientes enlaces en el menú de Favoritos del Internet Explorer:

Se copia a sí mismo a la carpeta raíz de todas las unidades lógicas de disco, entre la C:\ y la Z:\ con los siguientes nombres:

Crea además los siguientes recursos compartidos que son direccionados a %PROGRAMFILES%\WindowsUpdate:

Al siguiente inicio del equipo el gusano muestra la falsa caja de diálogo:

y termina los procesos relacionados a antivirus y software de seguridad:

Ejecuta su rutina de envío masivo de mensajes de correo y luego detecta las carpetas de descarga de redes Peer to Peer y se copia a las mismas con los nombres:

Al modificar el archivo HOSTS impide el acceso a las siguientes direcciones web:

Libera y ejecuta el archivo de la ruta: D:\SystemVoliumeInfo\rab.bat, el cual es usado para saturar con ataques PING el sitio web:

http://www.rab.gov.bd (ubicado en Bangladesh)

PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 16 de Julio del 2007 detectan y eliminan eficientemente este gusano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS