Mumawow.D

MUMAWOW.D gusano de la web y redes con recursos compartidos infecta archivos .EXE y .SCR, etc.

W32/Mumawow.D

Mumawow.D es un destructivo gusano residente en memoria reportado el 15 de Mayo del 2007 que infecta desde sitios web, infecta archivos con extensiones .EXE y .SCR.

Se propaga también en las redes con recursos compartidos.

Infecta el Internet Explorer, descarga y ejecuta archivos con códigos malignos desde una dirección web ubicada en la China. Descarga además actualizaciones de sí mismo.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con 45.5KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a la siguiente ruta, con el nombre:

%ProgramFiles%\Common Files\System\svchost.exe

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

para ejecutarse la próxima vez que se re-inicie el sistema crea las sub-llaves:

[Unidad_de_disco]\Autorun.inf
[Unidad_de_disco]\Autorun.exe
[Unidad_de_disco]\Autorun.vbs

al siguiente inicio del equipo el gusano crea el Mutex MY IS PROGRAMMER para evitar ejecutarse en memoria más de una vez.

luego inserta una rutina en el Internet Explorer que descarga y ejecuta archivos con códigos arbitrarios desde un sitio ubicado en la China:

http://gm4.testkl.cn/[Censurado]
http://gm4.testkl.cn/[Censurado]
http://gm4.testkl.cn/[Censurado]

los que guarda en el sistema infectado en siguiente ruta y con los nombres de archivo:

C:\Program Files\Common Files\System\d1.exe
C:\Program Files\Common Files\System\d2.exe
C:\Program Files\Common Files\System\d3.exe

El gusano ejecuta el Internet Explorer y verifica la existencia de una copia actualizada de sí mismo desde el URL:

http://gm4.testkl.cn/ver[Censurado]

en caso de existir una actualización, el gusano la descarga desde:

http://gm4.testkl.cn/kl.[Censurado]

y guarda la copia actualizada con el nombre de svchostnew.exe, borrando el incial archivo svchost.exe y copiándolo a la ruta:

%ProgramFiles%\Common Files\System\svchostnew.exe

El gusano revisa y enumera todos los discos fijos y remotos, accesibles desde el sistema afectado.

Al hallarlos infecta todos los archivos con extensión .EXE y .SCR, evitando infectar los ubicados en las siguientes carpetas:

Common Files
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
MSOCache
NetMeeting
Outlook Express
Program Files
RECYCLER
System Volume Information
WINDOWS
Windows Media Player
WINNT
WinRAR

Del mismo modo en forma específica revisa e infecta, en caso existir, los archivos instalados en las rutas:

[Unidad_de_disco]\Program Files\Thunder Network\Thunder\Thunder.exe
[Unidad_de_disco]\Program Files\Ringz Studio\Storm Codec\mplayerc.exe
[Unidad_de_disco]\Program Files\WinRAR\WinRAR.exe
[Unidad_de_disco]\Program Files\Tencent\QQ\CoralQQ.exe

PER ANTIVIRUS® versión 10.1 con registro de virus al 15 de Mayo del 2007 detecta y elimina eficientemente este gusano.