|
MUBLA.C
gusano/backdoor de correo MSN Messenger y FTP envía mensajes a contactos roba
información.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Mubla.C
Mubla.C es un
gusano/backdoor reportado el 12 de Diciembre del 2007 que se propaga a través
de mensajes de correo y de la mensajería
instantánea MSN Messenger,
enviando en forma aleatoria mensajes de texto con remitentes falsos.
Infecta el Internet
Explorer y los procesos
que se encuentren ejecución.
Actuando como Backdoor se conecta a un
sitio web ubicado en New York, Estados Unidos desde donde el
atacante podrá ejecutará comandos
arbitrarios en forma remota y robar información del
sistema y contraseñas.
Es un PE (Portable Ejecutable) e infecta Windows
98/NT/Me/2000/XP/Vista
y Server 2003,
desarrollado en Assembler con una extensión
de 14,4896 bytes para su archivo .EXE y 88,000 bytes para su DLL.
Ingresado al sistema se copia al directorio %System% con
los siguientes nombres:
%System%\msnmsgr.exe
%System%\syslinks2.dll
%System% es
la variable C:\Windows\System para Windows
95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows
XP y Windows Server 2003.
Y para activarse la próxima vez que se
reinicie el sistema crea las llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5A64829-96E4-4296-B9DC-A3D20DD885F5}]
"InProcServer32" = "syslinks2.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Version3" = "{F5A64829-96E4-4296-B9DC-A3D20DD885F5}"
Posee su propio SMTP (Simple
Mail Transfer Protocol) y extrae los buzones de correo de la Libreta de
Direcciones de Windows WAB (Windows
Address Book) y de los
archivos con las siguientes extensiones:
- txt
- htm
- sht
- jsp
- cgi
- xml
- php
- asp
- dbx
- tbb
- adb
- pl
- html
- wab
El mensaje tiene las siguientes
caraterísticas:
Remitente, las
extraídas del sistema o una de las siguientes falsas direcciones:
- root@[dominio_suplantado]
- info@[dominio_suplantado]
- samples@[dominio_suplantado]
- postmaster@[dominio_suplantado]
- webmaster@[dominio_suplantado]
- noone@[dominio_suplantado]
- nobody@[dominio_suplantado]
- nothing@[dominio_suplantado]
- anyone@[dominio_suplantado]
- someone@[dominio_suplantado]
- your@[dominio_suplantado]
- you@[dominio_suplantado]
- me@[dominio_suplantado]
- bugs@[dominio_suplantado]
- rating@[dominio_suplantado]
- site@[dominio_suplantado]
- contact@[dominio_suplantado]
- soft@[dominio_suplantado]
- no@[dominio_suplantado]
- somebody@[dominio_suplantado]
- privacy@[dominio_suplantado]
- service@[dominio_suplantado]
- help@[dominio_suplantado]
- not@[dominio_suplantado]
- submit@[dominio_suplantado]
- ca@[dominio_suplantado]
- page@[dominio_suplantado]
- admin@[dominio_suplantado]
- crosoft@[dominio_suplantado]
- support@[dominio_suplantado]
- ntivi@[dominio_suplantado]
- unix@[dominio_suplantado]
- bsd@[dominio_suplantado]
- linux@[dominio_suplantado]
- listserv@[dominio_suplantado]
- certific@[dominio_suplantado]
- google@[dominio_suplantado]
- accoun@[dominio_suplantado]
- spm@[dominio_suplantado]
- spam@[dominio_suplantado]
- www@[dominio_suplantado]
- secur@[dominio_suplantado]
- abuse@[dominio_suplantado]
Asunto, uno de los
siguientes:
- Account Error ID#5203
- Your Membership Details!
- ALERT
- Sorry your account has been suspended
- You've received an E-Card from a dear friend.
- Free one year trial
- Your account has been suspended for over usage
- Visa and Mastercard and Amex news
- Security Notice
Contenido, uno de los
siguientes:
- Please use the following password the read the attachment
- The message cannot be represented in plain text because it contains personal and sensitive data, so the message has been
attached.Please use the following password the read the attachment
- The message cannot be represented in 7-bit ASCII because it contains personal and sensitive data, so has been sent as a passworded attachment.Please use the following password the read the attachment
- The message has been sent as a secure passworded attachment.Please use the following password the read the attachment
Partial message is available as a secure passworded attachment.Please use the following password the read the attachment
seguido de:
Password: %s
Anexado, uno de los
siguientes:
- IMPORTANT-INFO.zip
- SECURE-INFO.zip
- INFO.zip
- UPDATED-INFO.zip
- Details.zip
- Secure_Details.zip
El archivo anexado con la
extensión .ZIP
está protegido con un password y se desempaqueta en memoria, conteniendo copias
del gusano, con una de las extensiones:
Al siguiente inicio del
equipo, el gusano ejecuta su rutina de envío masivo de mensajes de correo y del
mismo modo lo hace a la lista de contactos
del MSN Messenger,
con uno de los siguientes mensajes:
- hihi look at my horny pictures :$
- hi howdy ? accept it !! (H)
- look at my great summer pictures (B)(D)
- i love u thats why i send this !!! :o
- oh my god look at this picture :o wowwww
- this is me drinking some juice !!
- bak sana Paris Hilton ne hale gelmis hapiste
:(
- Sen ve Ben !!! .... BAK :p
- Baksana benim fotograflara hihi :p
- Hey benim fotolarimi kabul et :o !!
- Iyi arkadasimla fotorafdayim :$ !!
- benim bu ciplak fotoda :o ama baskasina
yollama
- bak ne buldum :o Jessica alba ciplak !!
- hey regarde mes nouvelles tofs :P
- salut! accept mes tofs! (H)
- T'as pas vu mes tof d'été ?? (B)(D)
- hey je viens de trouvé tes tof sur net :S
- oh mon dieux regarde ca!!
- c moi entrain du boire jus!!
- ma soeur voulait que tu regarde ces tof...
:P
- hihi kijk eens naar mijn geile fotos :$
- hihi
- foto in spanje check it (H)
- ik hou van je, daarom stuur ik je dit !!! :o
- fotos van executie van pim van tuin, deze
zijn nog nooit eerder vertoont bekijk ze !!
- hier ga ik volgendjaar naartoe op
vakantie!!(B)
- guck wie scheisse Paris Hilton aussieht,
seitdem sie wieder aus dem knast ist :(
- du und ich !!! ....guck :p
- siehe meine fotos hihi :p
- hey bitte nimm meine fotos an :o !!
- ein foto mit meinem besten freund und mir :$
!!
- das bin ich total nackt :o bitte sende es
niemand anderem
- \x8A\x8F\x9D\xCE\x8C\x87\x80\xCE\x87\x8D\x86\xCE\x9A\x81\x9A\x8F\x82\xCE\x80\
x8F\x8D\x85\x9A\xCE\xD4\x81\xCE\x8C\x87\x9A\x9A\x8B\xCE\x9D\x8B\x80\x8A\x8B\
xCE\x8B\x9D\xCE\x80\x87\x8B\x83\x8F\x80\x8A\xCE\x8F\x80\x8A\x8B\x9C\x8B\x83
- Guarda come Paris Hilton sprecato è, dopo
che era imprijonata :(
- Tu ed io !!! .... guarda :p
- Guardi le mie foto hihi :p
- Mairee photos accept karo :o !!
- Una foto con me ed il mio amico migliore :$
!!
- Questa e me totaly nudo :o prego non
trasmette a chiunque
- Osservi che cosa ho trovato sul internet :o
Jessica alba NUDA !!
- Veja como Paris Hilton está acabada depois
de ter sido presa :(
- Você e eu !!!! .... Veja :p
- Veja as minhas fotos hehehe :p
- Por favor aceite as minhas fotos :o !!
- Uma foto com o meu melhor amigo e eu :$ !!
- Esta sou eu totalmente nua :o por favor não
mande isso pra ninguém
- :o Jessica Alba NUA !!
- kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO
ME QIAOCUI :(
- NI HE WO !!! .... QING KAN :p
- KAN WO DE ZHAOPIAN :p
- JIESHOU WO DE ZHAO PIAN :o !!
- YI ZHANG WO GEN WO PENGYOU ZUI HAO DE
ZHAOPIAN :$ !!
- C'est moi totalement nu :o s'il te plait ne
l'envoie a personne d'autre
- ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI
BIEREN !!
- Kolla hur förstörd Paris Hilton är, efter
att hon fängslades :(
- Du och jag !! .... Kolla ;)
- Kolla på min bilder, hihi :p
- Hey, acceptera mina bilder, snälla :o
- En bild på mig och min bästa vän :$ !!!
- Detta är jag HELT naken.. :o Skicka inte
till någon annan, snälla...
- Kolla vad jag hittade på nätet :o Jessica
Alba NAKEN !!
- Mira cómo Paris Hilton es perdida después
de ser encarcelada :(
- Usted e yo !!! .... Mira :p
- Mira mis fotos jejeje :p
- Ha aceptado mis fotos por favor :o !!
- Una foto con mi mejor amigo e yo :$ !!
- Esta soy yo totalmente desnuda :o por favor
no envía para nadie
- Mira lo que encontré en la WEB :o Jessica
Alba DESNUDA !!
- Lede hvor spild Paris Hilton er efter hun
fik fængsel :(
- Jer og Mig !!! ... se :p
- Se på min fotos :p
- Hej behage optage min foto :o !!
- EN foto hos mig og min bedst ven :$ !!
- denne er mig hele bar behage vage vendlig og
sende den ikk til nogle :o
- Lede hvad jeg fandt oven på den net :o
Jessica Alba bar !!
Luego inserta el siguiente
archivo en el Internet Explorer y en todos los procesos que se encuentren en
ejecución:
%System%\syslinks2.dll
Su componente Backdoor haciendo uso del puerto TCP
80 se coneca al canal #.bb IRC
(Internet Chat Relay)
del sitio www.brendashop.com, ubicado en los Estados Unidos, pudiendo ejecutar entre otras, las
siguientes acciones:
- Descargar y ejecutar archivos
con códigos arbitrarios
- Ejecutar comandos remotos
ocultos
- Capturar información del
sistema
- Capturar contraseñas
PER ANTIVIRUS®
versión 10.3 con registro de virus al 12 de
Diciembre del 2007 detecta y elimina eficientemente este gusano/backdoor.
