|
MUGLY.C gusano de Correo modifica archivo HOSTS para impedir actualización de mayoría de antivirus, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Mugly.C@mm, W32/Ugly.C@mm, I.worm.Mugly.C@mm
Mugly.C es la tercera variante de este gusano, residente en memoria reportado el 21 de Diciembre del 2004, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados
elegidos en forma aleatoria.
Libera una variante del gusano Spybot, y modifica el archivo HOSTS para impedir el acceso a determinados sitios web asociados con antivirus, para evitar que sean actualizados.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003, está escrito en MS Visual Basic con 448 KB de extensión y está parcialmente comprimido.
El gusano tiene su propio servidor SMTP y los mensajes contienen el siguiente campo:
X-Mailer: SMTP COMPONENT
Se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:
- adb
- asp
- dbx
- doc
- htm
- html
- php
- sht
- tbb
- txt
- wab
evitando hacerlo a aquellas que tienen alguna de las siguientes cadenas de texto:
- gov
- adaware
- avguk
- grisoft
- kaspersky
- lavasoft
- mcafee
- nod32
- pandasoftware
- sophos
- sophos
- symantec
- trendmicro
El mensaje tiene las siguientes características:
Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y usa la técnica Spoofing para ocultar a los verdaderos remitentes, o las siguientes direcciones:
- administrator@hotmail.com
- Ales56@mcafee.com
- angy@hotmail.com
- britny@paltalk.com
- george88@download.com
- George@cnet.com
- goonish88@aol.com
- hunky78@norton.com
- mery@msn.com
- michael88@hotmail.com
- micheangelo@yahoo.com
- monika666@gmail.com
- romeorichard@google.com
- tit_fuck_909@gmail.com
Asunto, uno de los siguientes:
- vHhahahah lol!!!!
- Your Pic On A Website!!
- Rate My Pic.......
- You have an Admirer
Contenido, uno de los siguientes 4 formatos:
- i found this on my computer from ages ago download it
and see if you can remember it
- lol i was lauging like mad when i saw it! :D
email me back haha...
- I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!
- Hi ive sent 5 emails now and nobody will rate
my pic!! :( please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken :P
- Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment :)
- please download and respond telling us if you
would like to make further contact with this
person.
Regards Hallmark Admirer Mail Admin.
Adjunto, un archivo comprimido denominado Attached.zip que se desempaqueta en memoria y libera:
- admire_001.exe
- for_you.pif
- Hapy-new-year.scr
- is_this_you.scr
- love_04.scr
- Mary-Christmas.scr
- Photo_01.pif
- Pic_001.exe
Al ser ejecutado el gusano abre un archivo de nombre uglym.jpg mostrando el siguiente gráfico:
y se copia inicialmente a la carpeta %System% con los siguientes nombres de archivos:
inmediatamente después lo hace a las siguientes rutas con los nombres de archivos:
- %System%\attached.zip
- %System%\ANSMTP.DLL
- %System%\bszip.dll
- %System%\uglym.jpg
- %System%\winprotect.exe (variante del gusano Spybot)
- %System%\SVKP.sys
- \bt32.exe
El virus libera el componente ansmtp.dll y lo registra como un servicio, el cual usará como motor de envío de los mensajes masivos a las direcciones extraídas del sistema infectado y para registrar su propio motor SMTP crea las siguientes
llaves:
- HKEY_CLASSES_ROOT\ANSMTP.MassSender
- HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
- HKEY_CLASSES_ROOT\ANSMTP.OBJ
- HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
- HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
- HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
- HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
- HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
- HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
- HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
- HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}
Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"virtual" = "%System%\winprotect.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"virtual" = "%System%\winprotect.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE\]
"virtual" = "%System%\winprotect.exe"
Al siguiente inicio el gusano sobre-escribe el archivo Windows HOSTS para impedir que el sistema infectado puede acceder a los sitios web:
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 downloads-us2.kaspersky-labs.com
- 127.0.0.1 downloads-us3.kaspersky-labs.com
- 127.0.0.1 downloads-us4.kaspersky-labs.com
- 127.0.0.1 updates3.kaspersky-labs.com
- 127.0.0.1 symantecliveupdate.com
- 127.0.0.1 symatec.com
- 127.0.0.1 downloads3.kaspersky-labs.com
- 127.0.0.1 ftp.downloads1.kaspersky-labs.com
- 127.0.0.1 tony@hotmail.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 updates1.kaspersky-labs.com
- 127.0.0.1 downloads-us1.kaspersky-labs.com
- 127.0.0.1 updates2.kaspersky-labs.com
- 127.0.0.1 downloads1.kaspersky-labs.com
- 127.0.0.1 downloads2.kaspersky-labs.com
- 127.0.0.1 ftp.downloads2.kaspersky-labs.com
- 127.0.0.1 ftp.downloads3.kaspersky-labs.com
PER ANTIVIRUS® versión 9.0 con registro de virus al 21 de Diciembre del 2004 detecta y elimina eficientemente este gusano y sus variantes.
