Mugly.B

MUGLY.B destructivo gusano de Correo redes con recursos compartidos IRC aprovecha vulnerabilidades, etc.

W32/Mugly.B@mm, W32/Ugly.B@mm, I.worm.Mugly.B@mm

Mugly.B es la segunda variante de este gusano destructivo, reportado el 30 de Noviembre del 2004, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

Libera una variante del gusano Sdbot, aprovecha vulnerabilidades del sistema operativo, en el caso de que no se hayan instalado los parches correspondientes. Se propaga además vía el IRC (Internet Chat Relay) y a través de redes con recursos compartidos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con 414 KB de extensión y está parcialmente comprimido.

El gusano tiene su propio servidor SMTP y los mensajes contienen el siguiente campo:

X-Mailer: SMTP COMPONENT

Se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

wab
adb
tbb
dbx
asp
php
htm
html
sht
txt
doc

evitando hacerlo a aquellas que tienen alguna de las siguientes cadenas de texto:

adaware
nod32
trendmicro
avguk
grisoft
pandasoftware
sophos
sophos
.gov
symantec
lavasoft
mcafee
kaspersky

con las siguientes características.

Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y usa la técnica Spoofing para ocultar a los verdaderos remitentes.

Asunto, uno de los siguientes:

You have an Admirer
Your Pic On A Website!!
Rate My Pic.......
Hhahahah lol!!!! e

Contenido, uno de los siguientes 4 formatos:

Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment :)
please download and respond telling us if you
would like to make further contact with this
person.

Regards Hallmark Admirer Mail Admin.

------------------------------------------------------
Current email was sent by an Evaluation License.
Note: This footer will be removed with Licensed Version
I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!

-------------------------------------------------------

Current email was sent by an Evaluation License.
Note: This footer will be removed with Licensed Version
Hi ive sent 5 emails now and nobody will rate
my pic!! :( please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken :P

--------------------------------------------------------

Current email was sent by an Evaluation License.
Note: This footer will be removed with Licensed Version
i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! :D
email me back haha...

---------------------------------------------------------
Current email was sent by an Evaluation License.
Note: This footer will be removed with Licensed Version

Adjunto, un archivo comprimido denominado Attached.zip que se desempaqueta en memoria y libera:

for_you.pif
Pic_001.exe
Sexy_09.scr
Photo_01.pif
admire_001.exe
is_this_you.scr

Al ser ejecutado el gusano muestra el siguiente gráfico:

y se copia a la carpeta %System% con los siguientes nombres de archivos:

Ansmtp.dll (motor de envío masivo de correo)
attached.zip (copia comprimida del gusano)
bszip.dll (ejecutor del motor de envío de correo)
Svkp.sys (archivo del compresor y troyano del IRC)
uglym.jpg (gáifico)
winit.exe (variante del gusano W32/Sdbot)
xxz.tmp (copia del gusano)

El virus libera y ejecuta una variante del gusano Sdbot, el mismo que está empaquetado con el utilitario SVKP:

http://www.anticracking.sk

y crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]
[HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}]

Para ejecutarse la próxima vez que se re-inicie el sistema el gusano Mugly.B crea las siguientes llaves:

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"virtual" = "%System%\winit.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"virtual" = "%System%\winit.exe"

Al siguiente inicio el gusano revisa las subnets locales de clase B (*), enviando paquetes SYN a través del puerto TCP 445, invocando respuestas de los sistemas para provocar una saturación o Negación de Servicio DoS.

(*) Una subnet local de clase B, emplea los primeros y segundos octetos de una dirección IP para designar el código de identificación de la Red, y los dos octetos remanentes los usa para designar el código de identificación del Servidor.

El gusano aprovecha las vulnerabilidades del DCOM RPC (Llamada Remota de Procedimientos) y el LSASS de MS Windows, un desbordamiento del buffer que permite que un intruso obtenga el control del sistema afectado.

El gusano también se propaga en redes con recursos compartidos con contraseñas débiles, intentando ingresar y autenticarse como:

ADMIN$
IPC$
C$
D$

PER ANTIVIRUS® versiones 8.9 y 9.0 con registro de virus al 30 de Noviembre del 2004 detectan y eliminan eficientemente este gusano y sus variantes.