MUGLY.I gusano de Correo residente en memoria libera troyano/backdoor incrementa tráfico en Internet.  

© Jorge Machado  Lima-Perú

W32/Mugly.I@mm, W32/Ugly.I@mm, I.worm.Mugly.I@mm

Mugly.I es un gusano de Correo, última variante de la familia Mugly reportado el 31 de Enero del 2005, de alta propagación masiva a través de mensajes con Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

Libera un troyano/backdoor y al incrementar el tráfico disminuye la velocidad de acceso y navegación de las computadoras conectadas a Internet intentando saturar los servidores de Correo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con extensión variable y comprimido con el utilitario PESpin codificado en Assembler 32:

http://pespin.w.interia.pl/

El gusano se registra como un servidor SMTP (Simple Mail Transfer Protocol) estándar y se auto-envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

evitando hacerlo a aquellas que tienen alguna de las siguientes cadenas de texto:

El mensaje tiene las siguientes características:

Remitente: usa la técnica Spoofing enviando los mensajes de cualquiera de las siguientes direcciones:

Asunto, uno de los siguientes:

Contenido, uno de los siguientes:

Adjunto, un archivo comprimido denominado Attached.zip que se desempaqueta en memoria y libera:

Al ser ejecutado el gusano abre un archivo de nombre uglym.jpg mostrando el siguiente gráfico:

y sin intervención del usuario se auto-copia a la carpeta %System% con los siguientes nombres de archivos:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Upme" = "Dllman.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Upme" = "Dllman.exe"

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Upme" = "Dllman.exe"

Luego crea las siguientes llaves de registro para activar su propio motor SMTP (Simple Mail Transfer Protocol) como un servidor estándar de correo y ejecutar la rutina de envío de mensajes:

HKEY_CLASSES_ROOT\ANSMTP.MassSender

HKEY_CLASSES_ROOT\CLSID\
{253664FB-EDFC-4AC6-BD69-B322F466AEED}

HKEY_CLASSES_ROOT\CLSID\
{887A577B-406B-48FF-80CB-70752BFCD7B4}

HKEY_CLASSES_ROOT\Interface\
{1E98666F-6260-42C9-B846-32B20FDEFE7B}

HKEY_CLASSES_ROOT\Interface\
{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}

HKEY_CLASSES_ROOT\Interface\
{B13281CF-8778-4C98-AE23-ABBA4637A33D}

El Dllman.exe ejecuta un nuevo servicio llamado SVKP después de crear las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet]
Services\SVKP

HKEY_CLASSES_ROOT\TypeLib\
{DE6317F7-6EF0-45C2-88D1-8E09415817F1}

PER ANTIVIRUS® versión 9.0 y 9.1 con registro de virus al 31 de Enero del 2005 detecta y elimina eficientemente este gusano y sus variantes. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS