Monikey

MONIKEY gusano de Correo con textos en ruso y P2P intenta descargar archivos impide acceso a webs.

W32/Monikey@mm, I.worm.Monikey@mm

Monikey es un gusano reportado el 03 de Noviembre del 2005, que se propaga a través de mensajes de Correo con un falso remitente, asunto y contenido con textos en idioma ruso, y es enviado desde un portal de tarjetas postales virtuales con varios enlaces que intentan descargar un archivo infectado.

Termina el proceso loader_name.exe, que es un componente de algunas variantes del gusano Bagle, libera un Keylogger que roba información del sistema y se propaga también vía redes de compatimiento de archivos Peer to Peer.

Modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software de seguridad y de control.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/2000/XP y Server 2003, desarrollado en MS Visual C++, con una extensión de 84.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano extrae los buzones de la Libreta de Direcciones de Windows o de archivos con las extensiones:

wab
txt
msg
htm
shtm
stm
xml
dbx
mbx
eml
nch
mmf
ods
cfg
asp
php
pl
wsh
adb
tbb
sht
xls
oft
uin
cgi
mht
dhtm
jsp

evitando enviarse a las direcciones con las cedenas::

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
.subscribe
all@
certific
certs@
contact@
f-secur
gold-
hostmaster@
netadmin@
oocies
@fsecure
@mm
@norman
@norton
@symantec
@virusli
-mail-ru
-200
-sub
subscribe.ru
-000
20050
20040
20030
20051
20041
20031

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se envía masivamente en un mensaje con la siguiente característica:

Remitente: postcard service [monica@postcard.ru]
Asunto: [texto_en_ruso] POSTCARD.RU [texto_en_ruso]:

Contenido:

[texto_en_ruso]
http://www.postcard.ru/[removido]/get/?[dígito]
[texto_en_ruso]
http://www.postcard.ru/[removido/
Hello!
You've got a postcard. To view this postcard, click on the
following link at anytime within the next 30 days
http://www.postcard.ru/[removido]/get/?[dígito]
then switch to english version of site, and click on "get my postcard!"
Greeting postcards at
http://www.postcard.ru/[removido/
----------------------------------------------------------------
P.S. [texto_en_ruso] monica@postcard.ru
- [texto_en_ruso].

Al activarse el gusano se copia a las siguientes rutas y con los nombres de archivos:

%System%\mstcpmon.exe
%System%mswshell.dll
%System%\chkdskw.exe
%System%\itstore.dll
%System%\karnal32.dll
%System%\mslogon.dll
%System%\sfc32.exe
C:\Out.bin
C:\msn.log

para ejecutarse la próxima vez que se inicie el equipo agrega las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\karnal32.dll"
HKEY_CLASS_ROOT\CLSID\[GUID]\InProcServer32
"default" = "%System%\mswshell.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

C:\ es el directorio raíz de la unidad principal del disco.

crea además la siguiente sub-llave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\SysBackup

Al siguiente inicio del equipo crea el siguiente Mutex para evitar infectar el sistemas más de una vez:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

ejecuta su rutina de envío de mensajes de correo y para propagarse a través de redes Peer to Peer busca carpetas con las cadenas "share" y "download" copi'ndose con los siguientes nombres de archivos:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0.exe
Kaspersky Antivirus 5.0.exe
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

en caso existiese, termina el proceso loader_name.exe, que es un componente de algunas variantes del gusano Bagle.

modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones:

127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.downloads-us3.kaspersky-labs.com
127.0.0.1 ftp.norton.com
127.0.0.1 www.secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 ftp.ca.com
127.0.0.1 ftp.sophos.com
127.0.0.1 www.trendmicro.com
127.0.0.1 ftp.sandbox.norman.com
127.0.0.1 symatec.com
127.0.0.1 www.rads.mcafee.com
127.0.0.1 www.avp.com
127.0.0.1 www.downloads3.kaspersky-labs.com
127.0.0.1 ftp.viruslist.com
127.0.0.1 www.nai.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 trendmicro.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 my-etrust.com
127.0.0.1 www.downloads-us1.kaspersky-labs.com
127.0.0.1 ftp.downloads3.kaspersky-labs.com
127.0.0.1 www.downloads-eu1.kaspersky-labs.com
127.0.0.1 ca.com
127.0.0.1 symantec.com
127.0.0.1 www.my-etrust.com
127.0.0.1 ftp.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.updates2.kaspersky-labs.com
127.0.0.1 ftp.secure.nai.com
127.0.0.1 ftp.rads.mcafee.com
127.0.0.1 www.sophos.com
127.0.0.1 downloads-eu3.kaspersky-labs.com
127.0.0.1 nai.com
127.0.0.1 www.downloads-us2.kaspersky-labs.com
127.0.0.1 updates4.kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ftp.downloads-eu3.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 ftp.symantecliveupdate.com
127.0.0.1 sophos.com
127.0.0.1 ftp.mast.mcafee.com
127.0.0.1 ftp.kaspersky-labs.com
127.0.0.1 updates.symantec.com
127.0.0.1 www.kaspersky.com
127.0.0.1 ftp.downloads-us2.kaspersky-labs.com
127.0.0.1 customer.symantec.com
127.0.0.1 downloads-eu2.kaspersky-labs.com
127.0.0.1 ftp.downloads-us1.kaspersky-labs.com
127.0.0.1 www.us.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.downloads1.kaspersky-labs.com
127.0.0.1 www.updates.symantec.com
127.0.0.1 downloads-eu4.kaspersky-labs.com
127.0.0.1 ftp.securityresponse.symantec.com
127.0.0.1 ftp.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 ftp.downloads1.kaspersky-labs.com
127.0.0.1 ftp.nai.com
127.0.0.1 www.symatec.com
127.0.0.1 www.downloads-eu2.kaspersky-labs.com
127.0.0.1 www.mast.mcafee.com
127.0.0.1 www.downloads-eu3.kaspersky-labs.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 www.downloads-eu4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 ftp.my-etrust.com
127.0.0.1 viruslist.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 ftp.updates4.kaspersky-labs.com
127.0.0.1 ftp.downloads-eu2.kaspersky-labs.com
127.0.0.1 ftp.updates1.kaspersky-labs.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 www.downloads4.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 ftp.updates.symantec.com
127.0.0.1 ftp.downloads-us3.kaspersky-labs.com
127.0.0.1 ftp.downloads-eu1.kaspersky-labs.com
127.0.0.1 www.ca.com
127.0.0.1 ftp.symatec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 ftp.symantec.com
127.0.0.1 www.networkassociates.com
127.0.0.1 ftp.download.mcafee.com
127.0.0.1 ftp.downloads-eu4.kaspersky-labs.com
127.0.0.1 norton.com
127.0.0.1 www.norton.com
127.0.0.1 secure.nai.com
127.0.0.1 ftp.mcafee.com
127.0.0.1 www.update.symantec.com
127.0.0.1 www.dispatch.mcafee.com
127.0.0.1 ftp.networkassociates.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.updates1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 ftp.avp.com
127.0.0.1 update.symantec.com
127.0.0.1 avp.com
127.0.0.1 www.update.symantec.com
127.0.0.1 www.updates2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 ftp.trendmicro.com
127.0.0.1 www.liveupdate.symantec.com
127.0.0.1 www.uk.trendmicro-europe.com
127.0.0.1 www.downloads2.kaspersky-labs.com
127.0.0.1 ftp.dispatch.mcafee.com
127.0.0.1 grisoft.com
127.0.0.1 www.updates3.kaspersky-labs.com
127.0.0.1 ftp.updates3.kaspersky-labs.com
127.0.0.1 www.liveupdate.symantecliveupdate.com
127.0.0.1 ftp.update.symantec.com
127.0.0.1 symantecliveupdate.com
127.0.0.1 www.symantecliveupdate.com
127.0.0.1 ftp.liveupdate.symantecliveupdate.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.update.symantec.com
127.0.0.1 www.grisoft.com
127.0.0.1 ftp.grisoft.com
127.0.0.1 ftp.downloads4.kaspersky-labs.com
127.0.0.1 sandbox.norman.com
127.0.0.1 www.sandbox.norman.com
127.0.0.1 www.customer.symantec.com
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 downloads-us4.kaspersky-labs.com
127.0.0.1 uk.trendmicro-europe.com
127.0.0.1 download.mcafee.com
127.0.0.1 ftp.uk.trendmicro-europe.com
127.0.0.1 www.downloads-us4.kaspersky-labs.com
127.0.0.1 ftp.downloads-us4.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 www.updates4.kaspersky-labs.com
127.0.0.1 mcafee.com
127.0.0.1 ftp.us.mcafee.com
127.0.0.1 ftp.liveupdate.symantec.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.download.mcafee.com
127.0.0.1 www.securityresponse.symantec.com
127.0.0.1 ftp.customer.symantec.com

PER ANTIVIRUS® versión 9.5 con registro de virus al 03 de Noviembre del 2005 detecta y elimina este gusano.