Krynos.B

KRYNOS.B gusano/backdoor de Correo y redes P2P con ingeniería social bloquea acceso a webs de antivirus.

W32/Krynos.B@mm, I.worm.Krynos.B@mm

Krynos.B es un gusano/backdoor residente en memoria, reportado el 29 de Marzo del 2005, de propagación masiva a través de un mensaje de Correo que usa la denominada "ingeniería social" ya que simula ser enviado por Microsoft con una supuesta actualización.

También se difunde vía la mayoría de redes Peer to Peer.

Modifica el archivo HOSTS para impedir el acceso vía Internet a los sitios web relacionados a antivirus.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en C++, con una extensión de 57 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Usando su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows o archivos con las siguientes extensiones:

Evitando enviarse a las direcciones que tengan una de las cadenas:

@angelfire.com
@cisco.com
@cpan.org
@eff.org
@ethereal.com
@geocities.
@gnu.org
@hotmail
@iana
@lists.
@lucent.com
@msn.com
@perl.org
@python.org
@relay
@sun.com
@tcpdump.org
@yahoo
abuse
admin@
advertising@
announce
anyone
anywhere
aol.com
arin.
blockme
bsd.org
bugs@
cert.org
certs@
contact@
customer@
drsolomon
example
excite.com
f-prot
feedback@
google
grisoft.com
help@
ibm.com
info@
kaspersky
linux
lycos.com
master
mcafee
microsoft
mozilla
netscape
nobody
noreply
panda
rating@
ripe-
ripe.
root@
sales@
secur
sendmail
service@
sophos
sourceforge
submit
subscribe
support
symantec
user@
virus
whatever@
whoever@
yourname

El mensaje tienen las siguientes características:

Remitente: security@microsoft.com
Asunto: Microsoft Security Update

Contenido:

"Vulnerability in Windows Explorer Could Allow Remote Code Execution (612827)"
Affected Software:
Impact of Vulnerability: Remote Code Execution
Importance: High
Maximum Severity Rating: Critical
Recommendation: Customers should apply the attached update at the earliest opportunity
Summary:
Who should read this document: Customers who use Microsoft Windows
X-Mailer: Secure Microsoft Client, Build 2.1
X-MimeOLE: Produced By Secure Microsoft Client V2.1
X-MSMail-Priority: High
X-Priority: 1 (Highest)

Anexado, Document con una de las siguientes extensiones:

Al activarse el gusano se desempaqueta en memoria y copia al directorio %Windir% en las siguientes rutas y con los nombres:

%Windows%\Help\svchost.dat
%Windows%\Help\svchost.exe
%Windows%\Help\svchost.lce

luego muestra la siguiente falsa caja de diálogo:

y para ejecutarse la próxima vez que se inicie el equipo agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Service Host Process" = "%Windows%\Help\svchost.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio del sistema el gusano verifica la existencia del mutex NlsCacheMutant, para de ese modo evitar ejecutarse e infectar el sistema más de una vez.

Antes de iniciar su rutina de envío de correo masivo invoca a través del navegador al dominio www.google.com para asegurarse que el equipo infectado esté conectado a Internet y de comprobarlo procede a auto-enviarse.

Luego el gusano modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus:

dispatch.mcafee.com
download.mcafee.com
f-secure.com
ftp.f-secure.com
ftp.sophos.com
kaspersky.com
kaspersky.ru
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
rads.mcafee.com
securityresponse.symantec.com
service1.symantec.com
sophos.ch
sophos.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.ru
www.avp.ch
www.avp.com
www.avp.ru
www.f-secure.com
www.kaspersky.com
www.kaspersky.ru
www.mcafee.com
www.mcafeehelp.com
www.sophos.ch
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru

Para propagarse vía las redes Peer to Peer libera una copia de sí mismo con el nombre Document.zip y se copia a las siguientes carpetas:

C:\My Downloads\
C:\Archivos de programa\BearShare\Shared\
C:\Archivos de programa\direct connect\received files\
C:\Archivos de programa\eDonkey2000\incoming\
C:\Archivos de programa\eMule\Incoming\
C:\Archivos de programa\gnucleus\downloads\
C:\Archivos de programa\gnucleus\downloads\incoming\
C:\Archivos de programa\grokster\my grokster\
C:\Archivos de programa\grokster\my shared folder\
C:\Archivos de programa\icq\shared files\
C:\Archivos de programa\KaZaa Lite\My Shared Folder\
C:\Archivos de programa\KaZaa\My Shared Folder\
C:\Archivos de programa\KMD\my shared folder\
C:\Archivos de programa\limeWire\shared\
C:\Archivos de programa\Morpheus\my shared folder\
C:\Archivos de programa\StreamCast\Morpheus\my shared folder\
C:\Programmi\BearShare\Shared\
C:\Programm\direct connect\received files\
C:\Programm\eDonkey2000\incoming\
C:\Programm\eMule\Incoming\
C:\Programm\gnucleus\downloads\
C:\Programm\gnucleus\downloads\incoming\
C:\Programm\grokster\my grokster\
C:\Programm\grokster\my shared folder\
C:\Programm\icq\shared files\
C:\Programm\KaZaa Lite\My Shared Folder\
C:\Programm\KaZaa\My Shared Folder\
C:\Programm\KMD\my shared folder\
C:\Programm\limeWire\shared\
C:\Programm\Morpheus\my shared folder\
C:\Programm\StreamCast\Morpheus\my shared folder\

Actuando como Backdoor se conecta a un determinado canal de del IRC cuyo nombre se encuentra cifrado dentro del código del virus, y desde el cual recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes acciones:

Capturar archivos y enviarlos al intruso.
Descargar, ejecutar o borrar archivos.
Listar archivos dentro de una carpeta.
Desconectar de Internet al usuario activo.
Crear o borrar carpetas.

PER ANTIVIRUS® versiones 9.1 y 9.2 con registro de virus al 29 de Marzo del 2005 detectan y eliminan este gusano/backdoor.