|
MYDOOM.AD complejo gusano de Correo P2P ICQ IRC, deshabilita antivirus firewalls descarga Backdoors, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/MyDoom.AD@mm,
I.worm.MyDoom.AD@mm
MyDoom.AD es
un gusano de efectos sumamente variados y complejos, reportado el 06 de
Octubre del 2004, de
propagación
masiva
a través de mensajes de Correo con Remitentes disfrazados bajo la técnica
Spoofing, con
Asuntos, Contenidos y
archivos Anexados aleatorios.
Se propaga además vía redes Peer
to Peer, el ICQ e IRC
(Internet Chat Relay),
deshabilita las claves de la mayoría de antivirus y sistemas de seguridad,
impide el acceso a los portales de software antivirus y descarga Backdoors desde determinados sitios en la web.
Debido a la gran cantidad de acciones y
efectos nos vamos a excusar que brindar los detalles completos de este
gusano.
Es
un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual C++, con una extensión de
36 KB y comprimido con el utilitario UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
Usando su propio SMTP (Simple
Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en
la Libreta de Direcciones de Windows (WAB) o de archivos con
una extensa lista de determinadas extensiones. Así mismo evita enviarse a
direcciones con determinadas cadenas de texto.
El mensaje tiene las siguientes
características:
Remitente, emplea la técnica
Spoofing
que disfraza a los verdaderos remitentes.
Asunto, aleatoriamente uno de los
siguientes:
- latest net security patch for your system
- latest microsoft critical upgrade
- latest internet critical upgrade
- latest network critical pack
- latest network critical patch
- latest network critical update
- latest net critical pack
- latest net critical upgrade
- latest net critical update
- latest net critical patch
- latest internet upgrade
- latest microsoft upgrade
- latest microsoft patch
- latest security pack
- latest microsoft security patch
- latest network security update
- latest internet update
- latest net update
- see the security patch
- etc.
Contenido, uno de los
siguientes:
- Try this upgrade.
- Here is the upgrade.
- This is the latest patch for your
system.
- Download the patch.
- Run this patch.
- Check.
- Dear User, Make your system clean and safe by patch your system with the latest
updates.
- Try this update now.
- Try this patch now.
- Check the attachment to apply the
patch.
- Update your system now.
- Patch your system now.
- You can check the attachment for more
information.
- this is the latest version of security update. just download and run attached file and click ok to msg
boxes.
- Check the attachment to patch your system for latest
update.
- Check the attachment.
- Check the attachment for more
information.
- Checkout the attachment for more
information.
Al final de los contenidos se muestra uno de los siguientes pies de
mensajes:
Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++
Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++
Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++
Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++
Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++
Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
+++
Attachment: No Virus found
+++ Norman AntiVirus - www.norman.com
+++
Attachment: No Virus found
+++ F-Secure AntiVirus - www.f-secure.com
+++
Attachment: No Virus found
+++ Norton AntiVirus - www.symantec.com
Anexado, uno de los
siguientes:
- pack_55775
- pack28376
- pack_4273
- pack714283
- pack_52864
- pack_64237
- pack83428
- pack9162
- pack7243
- pack5648
- pack_9876
- pack86436
- pack563
- pack_42
- pack742
- pack83278
- pack7152
- pack_672
- pack_3775
- pack_7254
- update_513
- update_52345
- update_623
- update_5143
- update_7234
- update_6343
- update_133
- update_612
- update12
- update_5284
- update_7252
- update_5243
- update_52784
- update_7363
- update926284
- update653804
- update9649063
- update075399
- update66964
- patch_63494
- patch_4308
- patch1850
- patch648954
- patch_t385
- patch06469
- patch39075
- patch_6379
- patch_5358
- patch_3358
- patch0857
- patch164789
- patch6438
- patch_642
- patch_42
- patch_63
- patch_6857
- patch_7547
- patch_2
- patch_1
con cualquiera de las extensiones .CMD,
.CPL, .EXE,
.PIF, .SCR o
.ZIP
Al activarse el gusano,
para evitar activarse en memoria más de una vez e impedir la ejecución de
algunas variantes del gusano Netsky crea el mutex:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Y muestra en pantalla una falsa caja de diálogo:
Luego se copia al directorio %Windir%
y a las carpetas %System%
y %Temp% como patch31345.exe
y crea varias llaves de registro.
Al siguiente inicio del sistema borra muchos valores:
- Winsock2 driver
- Microsoft IE Execute shell
- tmproxy
- NAV Agent
- McAfeeVirusScanService
- pccguide.exe
- PCCIOMON.exe
- PCClient.exe
- McVsRte
- McRegWiz
- VSOCheckTask
- VirusScan Online
- MCUpdateExe
- ScriptBlocking
- ccApp
- NPROTECT
- F-Secure Manager
- F-Secure TNB
- Zone Labs Client Ex
- Tiny AV
- SysMonXP
- Special Firewall Service
- SkynetsRevenge
- PandaAVEngine
- Norton Antivirus AV
- NetDy
- My AV
- MsInfo
- KasperskyAVEng
- Jammer2nd
- ICQNet
- ICQ Net
- HtProtect
- FirewallSvr
- EasyAV
- Antivirus
- 9XHtProtect
de la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
con lo cual deshabilita a los antivirus y software de seguridad que estuviesen
instalados dejando a los sistemas infectados totalmente vulnerables a los virus y ataques de intrusos.
El gusano manipula la ruta %System%\drivers\etc\hosts, para impedir el acceso a diversos portales de
antivirus y software de seguridad:
- 127.0.0.1 www.pandasoftware.com
- 127.0.0.1 www.avp.com
- 127.0.0.1 www.viruslist.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 downloads1.kaspersky-labs.com
- 127.0.0.1 downloads2.kaspersky-labs.com
- 127.0.0.1 downloads3.kaspersky-labs.com
- 127.0.0.1 downloads4.kaspersky-labs.com
- 127.0.0.1 downloads-us1.kaspersky-labs.com
- 127.0.0.1 downloads-eu1.kaspersky-labs.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 avp.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 sophos.com
- 127.0.0.1 www.ca.com
- 127.0.0.1 ca.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 symantec.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 nai.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 www.trendmicro.com
- 127.0.0.1 www.pandasoftware.de
descarga dos archivos de un sitio web con
nombre cifrado y los copia a cualquiera de estas rutas:
- C:\Windows\eex.exe
- C:\Windows\eex2.exe
- C:\Winnt\eex.exe
- C:\Winnt\eex2.exe
Para infectar vía las redes P2P y el
ICQ genera copias de sí mismo en las carpetas de descarga
correspondientes con atractivos nombres de archivo.
Modifica el archivo Script.ini en caso de que
el software mIRC estuviese instalado en el sistema e infectará a todos los usuarios que se
conecten a una misma sesión de Chat.
También intenta copiarse a sí mismo a las
siguientes rutas en caso éstas existan:
- C:\Winnt\Profiles\Default User\Start
menu\Programs\Startup\patch31345.exe
- C:\Winnt\Profiles\Administrator\Start
menu\Programs\Startup\patch31345.exe
- C:\Winnt\Profiles\All Users\Start menu\Programs\Startup\patch31345.exe
- C:\Documents and Settings\Default User\Start
menu\Programs\Startup\patch31345.exe
- C:\Documents and Settings\Administrator\Start
menu\Programs\Startup\patch31345.exe
- C:\Documents and Settings\All Users\Start
menu\Programs\Startup\patch31345.exe
- C:\Windows\Start menu\Programs\Startup\patch31345.exe
- C:\WinMe\Start menu\Programs\Startup\patch31345.exe
- C:\Win95\Start menu\Programs\Startup\patch31345.exe
- C:\Win98\Start menu\Programs\Startup\patch31345.exe
Luego muestra una segunda falsa caja de
diálogo:
Termina los procesos de la mayoría de
antivirus, firewalls y software de control.
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de correo
usando su propio SMTP con Remitentes disfrazados bajo la técnica Spoofing,
enviándose a direcciones contenidas en determinados archivos.
-
Evita enviarse a direcciones con
ciertas cadenas de texto.
-
Los contenidos de mensajes tienen
un pie de página con falsos reportes de antivirus.
-
Infecta además vía el ICQ, IRC y
la mayoría de redes Peer to Peer.
-
Muestra dos falsas cajas de
diálogo.
-
Borra las claves de los registros
generados por diversos antivirus y software de control.
-
Impide al acceso a una gran
cantidad de portales de software antivirus.
-
Se conectarse a un sitio en la web cifrado, desde
el cual descargará unos backdoors.
PER ANTIVIRUS®
versión 8.9 con registro de virus al 06 de Octubre del 2004
detecta y eliminan
eficientemente este gusano, sus variantes existentes y por crearse debido a su
tecnología WiseHeuristics.
