Maslan

MASLAN.C destructivo gusano de Correo e IRC aprovecha vulnerabilidades deshabilita antivirus firewalls, etc.

W32/Maslan.C@mm, I.worm.Maslan.C@mm

Maslan.C es un gusano/backdoor destructivo residente en memoria, reportado el 09 de Diciembre del 2004, de propagación masiva a través de mensajes de correo con un archivo anexado de nombre PlayGirls2.exe.

Termina los procesos de los antivirus y firewalls que se encuentren activados.

Se conecta a un servidor IRC (Internet Chat Relay) desde el cual recibirá instrucciones en forma remota del atacante.

También aprovecha las vulnerabilidades DCOM RPC (Llamada Remota de Procedimientos) y LSASS detalladas en los boletines MS03-26 y MS04-011 de Microsoft, las cuales permiten desbordamiento de buffer permitiendo que un intruso obtenga el control del sistema afectado, ejecutando remotamente comandos y códigos malignos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con 53 KB de extensión.

Se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

El mensaje tiene las siguientes características.

Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y usa la técnica Spoofing para ocultar a los verdaderos remitentes.

Asunto: %Nombre%
Contenido: Hello %Nombre%,
Best regards,
%Nombre%
Adjunto: PlayGirls2.exe:

donde %Nombre% puede ser uno de los siguientes:

Alan
Andrew
Angel
Anna
Arnold
Bernard
Carter
Chris
Christian
Conor
Ghisler
Goldberg
Green
Helen
Ivan
Jackson
John
Kramer
Kutcher
Liza
Lopez
Mackye
Maria
Miller
Nelson
Peter
Robert
Ruben
Sarah
Scott
Smith
Steven

Al ser ejecutado, a causa de un "bug" el gusano muestra aleatoriamente esta falsa caja de diálogo:

al hacer click en el botón "OK" el gusano no ejecutará sus rutinas de infección y propagación, caso contrario se copiará a la carpeta %System% con los siguientes nombres de archivos:

___r.exe
___n.exe
___synmgr.exe

Para activarse la próxima vez que se re-inicie el sistema el gusano crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows DHCP" = "%System%\___r.exe"
"Microsoft Synchronization Manager" = "___synmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Synchronization Manager" = "___synmgr.exe"

Al siguiente inicio el gusano termina los procesos en ejecución de los siguientes antivirus y firewalls:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ATGUARD.EXE
AUPDATE.EXE
AUTO-PROTECT.NAV80TRY.EXE
AUTOUPDATE.EXE
AVGUARD.EXE
AVKPOP.EXE
AVKSERV.EXE
AVKSERVICE.EXE
AVKWCTl9.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLICK.EXE
DRWATSON.EXE
DRWEB32.EXE
DRWEBUPW.EXE
GUARD.EXE
GUARDDOG.EXE
JAMMER.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KAVPF.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
NAV.EXE
NAVDX.EXE
NAVW32.EXE
NAVWNT.EXE
NC2000.EXE
NETMON.EXE
NETUTILS.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NPROTECT.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
PADMIN.EXE
PROCESSMONITOR.EXE
RESCUE32.EXE
TASKMG.EXE
TASKMGR.EXE
TASKMON.EXE
TAUMON.EXE
VF-SETUP.EXE
VIR-HELP.EXE
VIRUSMDPERSONALFIREWALL.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZONALM2601.EXE
ZONEALARM.EXE

Actuando como Backdoor, el gusano se conecta a un servidor IRC (Internet Chat Relay) desde el que recibirá instrucciones en forma remota del atacante pudiendo realizar las siguientes acciones:

Descargar y ejecutar archivos.
Capturar teclas digitadas.
Ejecutar un ataque DoS por medio de la saturación SYN.
Terminar cualquier proceso en ejecución.
Actualizarse a así mismo.

En Windows 95/98/Me no muestra la ejecución de muchos procesos en la barra de tareas.

El gusano aprovecha la vulnerabilidad DCOM RPC (Llamada Remota de Procedimientos) de MS Windows, un desbordamiento del buffer que permite que un intruso obtenga remotamente el control del sistema afectado, haciendo uso del puerto TCP 135

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

y la vulnerabilidad LSASS de MS Windows, la cual permite un desbordamiento de buffer facilitando que un intruso obtenga el control del sistema afectado, pudiendo ejecutar remotamente comandos y códigos malignos.

El parche para la vulnerabilidad LSASS puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

El gusano revisa la careta Archivos de programa y sus sub-carpetas buscando los archivos con extensión .EXE y cuyas rutas tengan las siguientes cadenas:

distr
download
setup
share

Al hallar un archivo .EXE esta especie viral re-construye la ruta del archivo en una carpeta de nombre ___b y copia el archivo remplazando su contenido por "ceros", convirtiéndolo en no ejecutable.

El siguiente texto se puede leer en el cuerpo del gusano:

-{ Hah… MyDoom, Bagle, etc… since then you do not have future more! }-

PER ANTIVIRUS® versión 9.0 con registro de virus al 09 de Diciembre detecta y elimina eficientemente este gusano/backdoor y sus variantes.