Steph.B

PIGGI.B destructivo gusano de correo, P2P vulnerabilidades de sistemas activa Rootkits deshabilita antivirus, etc.

W32/Piggi.B@mm

Piggi.B es un gusano reportado el 19 de Febrero del 2007 que se propaga a través de mensajes de correo MultiSPAM y redes de compartimiento de archivos Peer to Peer.

Los asuntos y contenidos de los mensajes hacen uso de la Ingeniería Social.

Explota además las vulnerabilidades DCOM RPC y LSASS de los sistemas de Microsoft. Termina los procesos de antivirus y software de seguridad, usa la técnica Spoofing que disfraza a los remitentes y activa 2 Rootkits.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Está desarrollado en Visual C++ con una extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y extrae los buzones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book) o usa la técnica Spoofing.

El mensaje tiene las siguientes características:

Remitente: una de las direcciones extraídas del sistema o direcciones falsas.

Asunto y Contenido:

Una extensa lista de argumentos de Ingeniería Social, tales como:

ofrecimientos de obsequios o premios.
advertencias que cuentas como de MySpace, YouTube, software antivirus, detalles de tarjetas de crédito, informes bancarios han expirado o su información ha sido vulnerada, etc.
el envío de su mensaje de correo (que posiblemente el usuario jamás hizo) falló al ser remitido.
para mostrarle una foto, película, canción musical o sitio de interés.
enseñarle una estrategia para ganar en juegos de azar de casinos en línea.

Anexados: nombres aleatorios, con una de las siguientes extensiones:

wav
wma
mp3
rtf
html
txt
gif
jpeg
com
exe

Al ser activado el gusano se copia a las siguientes rutas, con los nombres:

%Windir%\lsass.exe
%Windir%\svchost.exe
%System%\dllcache\svchost.exe
%Program Files%\Internet Explorer\iexplore.exe

libera además los archivos:

%System%\drivers\[5_caracteres_aleatorios].sys (Rootkit)
%System%\msfsr.sys (Rootkit)
%System%\zyxwvuts.log (archivo bitácora) registra las ejecuciones e infecciones del gusano

Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"[nombre_del_gusano] = "[ruta_del_gusano][nombre_del_gusano]"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SvcHost" = %System%\svchost.exe:svchost.exe"

Para cambiar la ejecución del archivo Lsass modifica la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell explorer.exe" = "%Windir%\lsass.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

al siguiente inicio el gusano ejecuta su rutina MultiSPAM. Luego termina los procesos de una extensa lista de antivirus y software de control.

Busca en forma aleatoria direcciones IP con las vulnerabilidades DCOM RPC y LSASS de los sistemas de Microsoft.

Se auto-copia decenas de veces a las carpetas Peer to Peer que tengan estas cadenas:

BearShare
Uploads
Downloads
Shared
Upload
Share
Collections
My Shared Folder

y para ejecutar sus Rootkits, el gusano copia los siguientes archivos en el NTFS del sistema como ADS (Alternate Data Stream), que tienen el atributo de "oculto":

%Windir%\lsass.exe
%Windir%\svchost.exe
%System%\dllcache\svchost.exe
%Program Files%\Internet Explorer\iexplore.exe

el archivo con 5_caracteres_aleatorios es registrado como un nuevo driver de servicio del sistema, mostrando esos caracteres.

y para que esto sea posible crea también esta sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\[5_caracteres_aleatorios]

el archivo msfsr.sys es registrado como un nuevo driver de servicio del sistema con su mismo nombre "msfsr", para lo cual crea la llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msfsr]

para deshabilitar el Firewall de Windows y el Acceso Compartido al sistema modifica la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
"Start" = "4"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\StandardProfile\AuthorizedApplications\List]
"[carpeta_vigente][nombre_del_gusano] = "*:enabled:@xpsp2res.dll,-22019"

para deshabilitar la ejecución de cualquier porgrama al inicio del sistema crea la sub-llave:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Start = 3

Finalmente, el gusano sobre-escribe los servicios wuauserv y Norton LiveUpdate, dejándolos inutilizables.

NOTA: El servicio wuauserv es un archivo .DLL asociado a las actualizaciones de MS Windows y Norton LiveUpdate a las de ese antivirus.

El ADS (Alternate Data Stream) es un conjunto de servicios del NTFS, que usado por codificadores de virus facilitan la interactuación de Rootkits.

PER ANTIVIRUS® versión 10.0 con registro de virus al 19 de Febrero del 2007 detecta y elimina eficientemente este gusano.