Wurmark.R

WURMARK.R gusano de Correo descarga DLL que actúa como keylogger roba passwords y los envía a un URL.

W32/Wurmark.R@mm, W32/Lanieca.I@mm

Wurmark.R es un gusano reportado el 23 de Septiembre del 2005 de propagación masiva a través de mensajes de Correo, con Asuntos aleatorios, Contenido en blanco y archivos anexados en formato ZIP con doble extensión, separadas por espacios en blanco.

El gusano libera un archivo DLL que actúa como Keylogger capturando contraseñas las que almacena en un archivo temporal y envía a una dirección en la web.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++, con una extensión de 74 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía absolutamente a todos los buzones contenidos en el sistema, incluyendo el cTmail, que es el sistema de correo basado en la web o las direcciones de archivos con las siguientes extensiones:

evitando enviarse a las direcciones que tengan las cadenas:

abuse
admin
alert
kasper
mcafee
messagelab
microsoft
noreply
pandasoft
postmaster
recipients
report
sophos
spam
symantec
trendmicro
virus
webmaster

Los mensajes tienen las siguientes características:

Remitente, las extraídas del sistema.

Asunto, uno de los siguientes:

details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video

Contenido: en blanco.

Anexado, uno de los siguientes:

details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip

El archivo con formatp ZIP contiene una copia del gusano con el nombre del archivo anexado.[primera_extensión] [espacios_en_blanco].scr, siendo la primera extensión una de las siguientes:

También, en lugar del archivo anexado el gusano puede contener uno de estos enlaces:

http://www.sismodular.com/[carpeta_removida]/[nombre_de_archivo].zip
[http://www.elancenet.org/[carpeta_removida]/[nombre_de_archivo].zip
[http://www.hlconsultores.com/[carpeta_removida]/[nombre_de_archivo].zip
[http://africaplc.com/[carpeta_removida]/[nombre_de_archivo].zip

Al ser ejecutado se desempaqueta en memoria y copia a la carpeta %System% con el nombre del archivo de nombre aleatorio anexado y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[nombre_archivo]" = "%System%\[nombre_archivo].exe"

Al siguiente inicio el gusano activa su rutina de envío masivo de mensajes de correo y libera un archivo .DLL que actúa como keyloger que procede a revisar las unidades de disco para capturar contraseñas almacenadas en:

Auto Completar del Internet Explorer
Sitios Protegidos del Internet Explorer
Contraseñas del MSN Explorer
Cuentas de MS Outlook Express

Salva las mismas en un archivo de la ruta:

%Temp%\[nombre_aleatorio].tmp

y envía este archivo temporal al sitio web:

http://www.melaniecarroll.biz/[carpeta_removida]n2.php (actalmente deshabilitado)

PER ANTIVIRUS® versión 9.4 con registro de virus al 23 de Septiembre del 2005 detecta y elimina este gusano.