Swen

Swen, destructivo gusano de Correo, Kazaa, Chat y Redes compartidas simula ser enviado por Microsoft, etc.

Win32/Swen@mm, W32/Gibe.C@mm

Swen es un destructivo gusano reportado el 19 de Septiembre del 2003, de propagación masiva a través mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios. Alguno de ellos simulan ser enviados por Microsoft y contener parches para sus sistemas operativos.

Se difunde además vía la red Peer to Peer Kazaa, redes con recursos compartidos y el IRC (Internet Chat Relay). Deshabilita antivirus, firewalls y sistemas de control.

Asimismo, este gusano infecta con tan sólo pre-visualizar el mensaje, aprovechando las vulnerabilidades MIME (Multipurpose Internet Mail Extensions) e iFrame de algunas versiones de Microsoft Outlook y Outlook Express que permiten que el archivo anexado sea ejecutado automáticamente, con la opción de Vista Previa.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Microsoft Visual C++ con una extensión de 104 KB.

Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de diversas fuentes contenidas en los sistemas infectados, como la Libreta de Direcciones de MS Outlook o las extraídas de los archivos con las extensiones:

.EML
.WAB
.DBX
.MBX
.ASP
.HT*

Los mensajes tienen las siguientes características:

Remitente, dirección del usuario del sistema infectado o elegida en forma aleatoria de la siguiente combinación:

Cadena 1:

unknown
Microsoft
Support
Assistance
Services
Bulletin
Customer
Public
Technical
Center
Department
Section
Division
Security
Network
Internet
Program
Corporation
Microsoft
MS
Domain
Server
Receiver
Recipient
Client
Receiver
Recipient
Puremail
America
Netmail
Freemail
Bigfoot
Rocketmail
Routine
Program
Daemon
Automat
Engine
Service
Mailer
master
System
Service
Delivery
Storage
Message
Email
Postmaster
Administrator

Cadena 2:

bulletin
confidence
advisor
updates
technet
support,
newsletters
ms
msn
microsoft
msdn

Cadena 3:

.com
.net

(Ejemplo: Microsoft@bulletin.msdn.com)

Destinatario, elegido aleatoriamente de:

User
Client
Consumer
Partner
Customer
Commercial
Corporation
Microsoft
MS

Asunto, elegido aleatoriamente de:

Corp.
Corporation
comes
which
Internet Explorer
Windows
update
package
correction
corrective
security
critical
internet
important
these
Install
Apply
Watch
Take a look at
Look at
Try on
Taste
Prove
Check out
Check
Upgrade
Update
Critical
Latest
Newest
Current
M$
MS
from
comes
came
which
this
that
these
the
See
Watch
Use
Apply

Contenido, varios formatos HTML elegidos aleatoriamente que simulan contener Actualizaciones de Seguridad de los sistemas operativos de Microsoft.

Anexado, nombres aleatorios de la siguiente lista, seguido de hasta 8 caracteres alfanuméricos con una de las extensiones .EXE, .COM, .PIF, .BAT, .SCR o .ZIP:

Q
Pack
Patch
Update
Upgrade
Install
Installer

Si el usuario ejecuta el archivo infectado, el gusano mostrará un mensaje alusivo a la instalación de un parche de seguridad, con el objeto de confundir o engañar al receptor del mensaje:

Luego de otras 2 cajas de diálogo, el gusano presenta un mensaje de error que simula ser un formulario de Microsoft, e invita a llenar los datos del usuario, con el propósito de obtener su información confidencial.

El gusano se auto-copia con el archivo de nombre aleatorio al directorio %Windir% y crea las siguientes llaves de registro:

Para ejecutarse la próxima vez que se inicie el sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"[nombre_aleatorio]" = [archivo_aleatorio].EXE autorun

Luego modifica las siguientes llaves de registro para activarse cada vez que se ejecuta cualquier archivo con extensiones .BAT, .COM, .EXE, .PIF, .REG, y .SCR:

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"default" = "%Windir%\[nombre_de_archivo]\"%1" %*

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"default" = "%Windir%\[nombre_de_archivo]\"%1" %*

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"default" = "%Windir%\[nombre_de_archivo]\"%1" %*

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"default" = "%Windir%\[nombre_de_archivo]\"%1" %*

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
"default" = "%Windir%\[nombre_de_archivo]\"%1" %*

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
"default" = "%Windir%\[nombre_de_archivo]\"%1" %*

También libera los siguientes archivos:

%Windir%\Germs0.dbv (almacena las direcciones de correo capturadas del sistema infectado)
%Windir%\Swen1.dat (contiene una lista de servidores remotos)

Para bloquear el uso del REGEDIT, crea la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "01 00 00 00"

Una vez activado, el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos:

_avp
ackwin32
amserv
anti-troj
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avgw
avkserv
avnt
avp
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmi
cfiaudit
cfind
cfinet
claw95
dv95
ecengine
efinet32
esafe
espwatch
f-agnt95
f-prot
f-prot95
f-stopw
findviru
fp-win
fprot
fprot95
frw
gibe
iamapp
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
jedi
kpfw32
lockdown2000
lookout
lu32
luall
moolive
mpftray
msconfig
nai_vs_stat
nav
navapw32
navnt
navsched
navw
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pavw
pcciomon
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
rav
regedit
rescue
safeweb
serv95
sphinx
sweep
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
vettray
view
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm

Para infectar a través de Kazaa modifica la llave de descarga de archivos, agregándole este valor:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir99" = "012345:\%Windir%\Temp\[carpeta_aleatoria]"

Luego se auto-copia a la carpeta C:\My Shared Folder con uno de los siguientes nombres de extensiones .EXE o .ZIP:

Virus Generator
Magic Mushrooms Growing
Cooking with Cannabis
Hallucinogenic Screensaver
My naked sister
XXX Pictures
Sick Joke",
XXX Video
XP update
Emulator PS2
XboX Emulator
HardPorn
Jenna Jameson
Hotmail hacker
Yahoo hacker
AOL hacker
fixtool
cleaner
removal tool
remover
Sircam
Bugbear
installer
upload
hacked
key generator
Windows Media Player
GetRight FTP
Download Accelerator
Winamp
WinZip
WinRar
KaZaA media desktop
Kazaa Lite

Para propagarse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC e infectará a todos los usuarios que se conecten a una misma sesión.

Para infectar a través de las Redes con recursos compartidos, el gusano se auto-copia en la carpeta de Inicio (Startup) de estas unidades de red.

El parche para tanto el iFRAME exploit y el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Al ser desensamblado, el gusano muestra esta caja de diálogo:

El gusano tiene los siguientes payloads:

Se propaga masivamente a través de su propio Servidor de Correo SMTP, extrayendo direcciones de diversas fuentes del sistema infectado y con una diversidad de formatos de mensajes.
También usa aleatoriamente algunos servidores SMTP o uno extraído del sistema infectado.
Algunos de sus mensajes simulan contener actualizaciones o parches correctivos de Microsoft.
Se difunde además vía la red Kazaa y los canales de Chat.
Explota las vulnerabilidades MIME e iFrame que permiten infectar los sistemas con tan solo visualizar el mensaje.
Termina los procesos de los antivirus y software de seguridad, dejando a los sistemas totalmente vulnerables a los virus y a ataques de intrusos.
Se activa cada vez que se ejecutan archivos con extensiones .BAT, .COM, .EXE, .PIF, .REG, y .SCR
Bloque la ejecución del REGEDIT (editor de registros de Windows).
Se propaga a través de unidades de Red con recursos compartidos.
Captura la información digitada en un falso formulario y la envía a una dirección de correo, la misma que se encuentra cifrada o a servidores remotos vía HTTP.

PER ANTIVIRUS® versión 8.2 y 8.3 con registro de virus al 19 de Septiembre del 2003 detecta y elimina eficientemente este gusano.