Womble

WOMBLE gusano de correo MultiSPAM explota vulnerabilidad del motor de ejecución del MS Windows Metafile.

W32/Womble

Womble es un gusano de correo residente en memoria reportado el 30 de Agosto del 2006, que explota la vulnerabilidad del motor de ejecución de archivos gráficos del MS Windows Metafile, detallada en el Boletín MS05-053, que permite a intrusos ejecutar comandos o códigos malignos en forma remota.

Esta vulnerabilidad es explotada por medio de una imágen intencionalmente desarrollada y malformada con el formato .WMF (Windows Metafile)

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado en Microsoft Visual C++, tiene 78KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano usa su propio motor SMTP y se envía a los buzones de correo extraídos de la Libreta de Direcciones de Windows o los contenidos en las extensiones:

El mensaje tiene las siguientes características:

Asunto, aleatoriamente uno de los siguientes:

Action
Beauty
Bush
Helo
important
info
Kiss
Laura
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Paula
pic
pics
private
private pics
Re:
RE:
Re: hi
Re: info
RE: pic
read this
Robert
Sex

Contenido: en blanco

Anexado, uno de los siguientes:

antispam.pif
firefox_update.pif
free_anti_spyware.pif
free_antivirus.pif
google_tool.pif
ie_update.pif
inet.pif
java_update.pif
mail_control.pif
ms_office_update.pif
net_update.pif
new_win_patch.pif
remove_spyware.pif
yahoo_tool.pif

si es una copia genérica del Windows Meta File genérico, con uno de los nombres:

about_windows
congratulations
google_info
mails_list
new_picture
picture
some_info
yahoo_info
your_friends

tiene una de las siguientes extensiones:

esta última clase de archivos anexados pueden estar comprimido con la extensión .ZIP que será incluida como una segunda extensión.

para ejecutarse la próxima vez que se re-inicie el sistema, crea los siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms_net_update" = "%System%\[nombre_del_gusano]"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ms_net_update" = "%System%\[nombre_del_gusano]"

[HKEY_LOCAL_MACHINE\SOFTWARE\WinUpdate]
"Version" = "dword:00000003"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

al siguiente inicio del equipo, el gusano libera en la siguiente ruta:

%Application Data%\Microsoft\WinTools\dvd

los siguientes archivos:

Inet.exe (copia del gusano)
Yahoo_info.wmf (Windows Meta File genérico)

%Application Data% es la carpeta de aplicaciones de datos ubicada en C:\Windows\All Users\Application Data en Windows 98/Me, C:\Winnt\Profiles\[usuario_actual]\Application Data en Windows NT y C:\Documents and Settings\[usuario_actual]\Application Data en Windows 2000, XP y Server 2003.

El archivo Yahoo_info.wmf está intencionalmente malformado para aprovechar la vulnerabilidad en el motor de ejecución de archivos gráficos del MS Windows Metafile (WMF) detallada en el Boletín de Microsoft MS05-053, el mismo que contiene los siguientes archivos:

Netupdate.exe
Winlog.exe
Winlogin.exe
Winupdate.exe

En caso el archivo infectado sea abierto o simplemente visualizado con el Explorador de Windows, el gusano liberará una copia de sí mismo en la carpeta %System%, la misma que será ejecutada automáticamente, con sus rutinas de envío masivo de mensajes de correo.

Este "exploit" permite a intrusos ejecutar comandos o códigos malignos en forma remota desde diversos servicios de Internet.

La información y parche para esta vulnerabilidad puede ser descargada desde:

Microsoft Security Bulletin MS05-053

PER ANTIVIRUS® versión 9.8 con registro de virus al 30 de Agosto del 2006 detecta y elimina este gusano.