|
WURMARK.L envía mensajes en 7 idiomas a contactos de MSN Messenger y Yahoo IM descarga backdoor.
|
|
(c) Jorge Machado Lima-Perú
|
|
W32.Wurmark.L@mm, I.worm.Wurmark.L@mm
Wurmark.L es un destructivo gusano/troyano/backdoor reportado el 24 de Mayo del 2005, que se propaga masivamente a través de las listas de contactos del MSN Messenger y Yahoo Instant
Messenger, haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) enviando mensajes en 7 diversos idiomas.
El archivo infectado contiene una variante del troyano/backdoor Rbot que se conecta a diversos canales del IRC (Internet Relay Chat) ejecutando diversas acciones nocivas y hasta destructivas.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con extensión variable y comprimido con el utilitario PESpin
codificado en Assembler 32:
http://pespin.w.interia.pl/
Los mensajes tienen las características:
Remitente, uno de la direcciones extraídas de la Libreta de Contactos de las mensajerías instantáneas.
Contenidos en 7 idiomas:
inglés:
- Attachment Returned
This file was rejected by the recipient
- You suck!
I have enclosed why you suck and your not going to like it :@
- My new details
Hi i've changed email address if you would like to <br>
keep in contact i have enclosed my new details
- Party Invite!!
You have been invited to my party <br>
please download the details and tell me if you <br>
will be able to make it , Thanks!
alemán:
- Zubeh r Ging
Diese Akte wurde von der Empf nger zur ckgewiesen
- Sie saugen!
Ich habe umgeben, warum Sie saugen und Ihr Gehen nicht zu wie ihm :@
- Meine neuen Details
Hallo nderte ive email address, wenn Sie zu m chten <br>
Unterhalt im Kontakt habe ich meine neuen Details umgeben
- Beteiligtes Laden!!
Sie sind zu meinem Beteiligten eingeladen worden <br>
ddownloaden Sie bitte die Details und erkl ren Sie mir <br>
wenn Sie in der LageSIND, es zu bilden, Dank!
francés:
- L'Attachement Est retourn
Ce dossier a rejet par le destinataire
- Vous sucez!
J'ai enferm pourquoi vous sucez et votre ne pas aller comme lui :@
- Mes nouveaux d tails
Bonjour l'ive a chang le email address si vous voudriez <br>
subsistance en contact j'ai joint mes nouveaux d tails
- La Partie Invitent!!
Vous avez invit ma partie t chargez <br>
svp les d tails et me dites si vous pourrez la <br>
faire, merci!
italiano:
- Il Collegamento Ha rinviato
Questa lima stata rifiutata dal destinatario
- Succhiate!
Ho accluso perch succhiate e vostro non andare come ad esso :@
- I miei nuovi particolari
Hi il ive ha cambiato il email address se gradiste a <br>
conservazione in contatto ho accluso i miei nuovi particolari
- Il Partito Invita!!
Siete stati invitati al mio partito prego <br>
trasferite i particolari dal sistema centrale <br>
verso i satelliti e mi dite se potrete farlo, ringraziamenti!
portugués:
- O Acess rio Retornou
Esta lima foi rejeitada pelo receptor
- Voc suga!
Eu inclu porque voc suga e seu n o lhe ir como :@
- Usted aspira!
He incluido porqu usted aspira y el su no ir como a l :@
- O Partido Convida!!
Voc foi convidado a meu partido download por <br>
favor os detalhes e diz-me se voc pudesse o <br>
fazer, agradecimentos!
español:
- El Accesorio Vuelve
Este archivo fue rechazado por el recipiente
- Usted aspira!
He incluido porque usted aspira y el su no ir como a l :@
- Mis nuevos detalles
Hi el ive cambi email address si usted quisiera a <br>
mantener contacto he incluido mis nuevos detalles
- El Partido Invita!!
Le han invitado a mi partido descarga por favor <br>
los detalles y me dice si usted puede hacerlo, <br>
gracias!
holandés:
- Het aanhechtsel Keerde Terug
Dit bestand werd door de ontvanger afgekeurd
- U zuigt!
Ik heb waarom u zuigt bijgevoegd en uw gaand alsof het niet :@
- Mijn nieuwe details
Hi veranderde ive e-mail aanspreekt of u van naar zou houden <br>
Hou in contact ik heb bijgevoegd mijn nieuwe details bij
- De partij Uitnodig!!
U bent naar mijn partij alstublieft download de details <br>
uitgenodigd worden en vertel mij indien u hem zult kunnen <br>
maken, Bedankt!
Anexado, uno de los siguientes:
- Party.pif
- File.pif
- Corrupt.pif
- details.pif
- Party.scr
- File.scr
- Corrupt.scr
- details.scr
Al ejecutar el archivo se copia a la carpeta %System% con los nombres:
- bx.exe (copia del troyano/backdoor Rbot)
- bszip.dll (componente que descomprime archivos)
- ANSMTP.DLL (componente que envía mensajes a los contactos del MSN Messenger Yahoo IM)
Luego libera en la misma carpeta los archivos:
- cmd.com
- regedit.com
- taskkill.com
- tasklist.com
- tracert.com
- ping.com
- netstat.com
El archivo bx.exe se activa en memoria y copia a la carpeta %System% como winis.exe y para ser ejecutado la próxima vez que se re-inicie el sistema agrega la siguiente
llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IE Runtimes" = "%System%\winis.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio el gusano se conecta a una dirección web y muestra el siguiente gráfico:
inmediatamente después activa su rutina de captura de direcciones y envío de mensajes masivos de correo.
El gusano actúa además como Backdoor y se conecta como usuario de diversos canales de Chat, desde donde podrá realizar entre otras, las siguientes acciones:
- Capturar la información del sistema.
- Robar el registro de la clave de Microsoft Windows.
- Listar, activar o terminar procesos.
- Enviar mensajes de correo con su propio motor SMTP
- Activar un capturador de teclas digitadas o Keylogger.
- Capturar contraseñas de la memoria cache.
- Actuar como relay de envío de SPAM.
- Tomar el control en forma remota de los sistemas infectados.
PER ANTIVIRUS® versiones 9.2 y 9.3 con registro de virus al 24 de Mayo del 2005 detectan y eliminan este gusano.
