Mumu.B

MUMU.B, nocivo gusano/troyano, infecta Redes compartidas, captura información, ocasiona ataque DoS, etc.

W32/Mumu.B, Troj/Mumu.B, Troj/mumuboy

Mumu.B es un gusano/troyano reportado el 27 de Junio del 2003, que infecta a través de diversos servicios de Internet, como Telnet, correo, el IRC (Internet Chat Relay), puertos TCP abiertos, etc., con un archivo de nombre Mumu.exe, de 284 KB de extensión, el mismo que libera diversos componentes. Ingresa a los servidores y estaciones de trabajo premunidos de contraseñas débiles, creando una una cuenta administrativa para el usuario "KKKKKKK".

Se propaga en carpetas y sub-carpetas de servidores y unidades de disco con recursos compartidos ocultos (IPC$) que emplean el protocolo SMB (Server Message Block).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

El gusano provoca un exceso de tráfico en las Redes compartidas infectadas, pudiendo ocasionar una Negación de Servicio (DoS) por saturación.

La muestra fue enviada por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Una vez ingresado el archivo Mumu.exe al sistema, libera sus archivos los cuales son copiados al directorio %Windir% y a la carpeta %System%:

%System%\psexec.exe de 35.5 KB (ejecuta tareas de programas en forma remota)
%Windir%\bboy.exe de 20 KB (encargado de ejecutar el .DLL que intenta ingresar a los sistemas con una lista de claves de Acceso)
%System%\bboy.dll de 36 KB,864 (contiene las Claves de Acceso)
%System%\kavfind.exe (herramienta que rastrea puertos abiertos en equipos remotos)
%System%\mumu.exe (copia del gusano)

Para ejecutares la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Kernel" = "%Windir%\bboy.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado con la función CreateSemaphore el troyano crea el semáforo objeto "qjaashyuhv1.0," que permite que se ejecute en memoria tan solo una vez.

Luego termina con los siguientes procesos:

pfw.exe
Iparmor.exe
Eghost.exe
PasswordGuard.exe
DFVSNET.EXE
Kvfw.exe
kvapfw.exe

El gusano intenta conectarse a los equipos remotos como Administrador Compartido (ADMIN$ share) haciendo uso de la siguiente lista de Claves de Acceso:

%null%
%username%
%username%12
%username%123
%username%1234
123
1234
12345
123456
1234567
12345678
654321
54321
1
111
11111
111111
11111111
000000
00000000
888888
88888888
5201314
pass
passwd
password
sql
database
admin
root
secret
oracle
sybase
test
server
computer
Internet
super
user
manager
security
public
private
default
1234qwer
123qwe
abcd
abc123
123abc
abc
123asd
asdf
asdfgh
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
KKKKKKK

Si logra conectarse, el gusano se auto-copia a los sistemas remotos como:

ADMIN$\SYSTEM32\MUMU.EXE

Luego almacena la dirección IP de la Red infectada en el registro, generando la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\mumu] [número_IP_del_equipo_infectado]

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) con el cual envía mensajes de la información que es extraída del siguiente archivo creado por bboy.exe:

%Windir%\qjinfo.ini

El contenido de este archivo está codificado en el formato Base64 y es enviado por correo a una dirección que se encuentra encriptada dentro del código viral. Para este objeto el gusano emplea el siguiente servidor:

SMTP.SINA.COM.CN

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato, que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para poder ser representados por caracteres imprimibles.

En los sistemas operativos Windows 95/98/Me el troyano se registra a sí mismo como un proceso de servicio.

Los payloads de este troyano/backdoor son los siguientes:

Infecta a través de diversos servicios de Internet.
Una vez ejecutado el archivo, libera varios componentes con determinadas funciones.
Crea un semáforo objeto para poder ejecutarse tan solo una vez en memoria.
Termina determinados procesos.
En los sistemas operativos Windows 95/98/Me el troyano se registra a sí mismo como un proceso de servicio.
Intenta ingresar a los servidores como Administrador haciendo uso de una lista de Claves de Acceso.
Se propaga a través de Redes remotas con recursos compartidos ocultos.
Captura información de los sistema infectados y la envía al hacker haciendo uso de su propio servidor SMTP.
Puede enviar comandos a través del Chat.
Genera un exceso de tráfico en las redes infectadas, pudiendo ocasionar una Negación de Servicio (DoS) por saturación.

PER ANTIVIRUS® versión 8.1 con registro de virus al 27 de Junio del 2003 detecta y elimina eficientemente este gusano/troyano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)