Wurmark.S

WURMARK.S gusano de Correo y Peer to Peer termina procesos de antivirus firewalls y software de seguridad.

© Jorge Machado Lima-Perú

W32/Wurmark.S@mm

Wurmark.S es un gusano reportado el 1o de Octubre del 2005 de propagación masiva a través de mensajes de Correo, con Asuntos, Contenidos y archivos aleatorios con anexados en formato ZIP con doble extensión, separadas por espacios en blanco.

Termina los procesos de programas antivirus, firewalls y software de control. Intenta propagarse vía redes Peer to Peer y los procesos de descarga.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++, con una extensión de 201.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía absolutamente a todos los buzones contenidos en el sistema, incluyendo el cTmail, que es el sistema de correo basado en la web o las direcciones de archivos con las siguientes extensiones:

CFG
CGI
DBX
DHTM
DOC
EML
HTM
JSP
MBX
MDX
MHT
MMF
MSG
NCH
ODS
OFT
PHP
PPT
RTF
SHT
SHTM
STM
TBB
TXT
UIN
VBS
WAB
WSH
XLS
XML

evitando enviarse a las direcciones que tengan las cadenas:

@antivir
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symatec
@viruslist
abuse@
noreply@
ntivir
reports@
spam@

Los mensajes tienen las siguientes características:

Remitente, las extraídas del sistema.

Asunto, uno de los siguientes:

Administration
approved
Bad Request
corrected
Delivery Protection
Delivery Server
Encripted Mail
Error
Extended Mail
Extended Mail System
Failure
hello
important
improved
Mail Authentification
Mail Server
Notify
patched
Protected Mail Delivery
Protected Mail Request
Protected Mail System
read it immediately
Secure delivery
Secure SMTP Message
SMTP Server
Status
Thank you for delivery
Thanks!

Contenido, uno de los siguientes:

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ MC-Afee AntiVirus - www.mcafee.com
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Panda AntiVirus - www.pandasoftware.com
++++ F-Secure AntiVirus - www.f-secure.com
++++ Norman AntiVirus - www.norman.com
++++ Norton AntiVirus - www.symantec.de
Authentication required.
Bad Gateway: The message has been attached.
Delivered message is attached.
Encrypted message is available.
ESMTP [Secure Mail System #334]: Secure message is attached.
First part of the secure mail is available.
Follow the instructions t read the message.
For further details see the attachment.
For more details see the attachment.
Forwarded message is available.
I have attached your document.
I have received your document. The corrected document is attached.
New message is available.
Now a new message is available.
Partial message is available. Waiting for a Response. Please read the attachment.
Please authenticate the secure message.
Please confirm my request.
Please confirm the document.
Please read the attached file!
Please read the attached file!
Please read the attachment t get the message.
Please read the document.
Please read the important document.
Please see the attached file for details.
Protected Mail System Test.
Protected message is attached.
Protected message is available.
Requested file.
Secure Mail System Beta Test.
See the file.
SMTP: Please confirm the attached message.
Waiting for authentification.
You got a new message.
You have received an extended message. Please read the instructions.
Your details.
Your document is attached t this mail.
Your document is attached.
Your document.
Your file is attached.
Your requested mail has been attached.

Anexado, uno de los siguientes:

data.zip
details.zip
document.zip
message.zip
msg.zip
readme.zip

El archivo con formatp ZIP contiene una copia del gusano con el nombre con los siguientes nombres:

Data.txt[espacios].exe
Delails.doc[espacios].exe
Document.txt[espacios].exe
Readme.txt[espacios].exe

Al ser ejecutado se desempaqueta en memoria y copia a la carpeta %System% con el nombre de Lsess.exe y libera a esa misma carpeta los archivos:

zlib.dll (archivo DLL usado para comprimir y descomprimir archivos.
ansmtp.dll (su motor SMTP (Simple Mail Transfer Protocol)

para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lsess" = "%System%\lsess.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"lsess" = "%System%\lsess.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"lsess" = "%System%\lsess.exe"

y para ejecutarse cada vez que se abre un archivo de texto crea el registro:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"@" = "%System%\lsess.exe %1"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio el gusano activa su rutina de envío masivo de mensajes de correo y termina con los siguientes procesos:

para propagarse en las redes Peer to Peer y en los procesos de descraga copia a la carpeta %System% los arhivos:

Credit Card.zip
Edonkey 1.1.zip
Emoticons MSN.zip
Hotmail Passwords HOWTO.me.zip
Norton Antivirus.zip
Overnet Full.zip
Windows Commander.zip
Windows XP Activate.zip
Winzip Cracked.zip

Los mismos que contiene una de las cadenas:

compart
download
incoming
share
shared
Platforms

estas cadenas serán invocadas asociándolas a las carpetas de descarga P2P.

PER ANTIVIRUS® versión 9.4 con registro de virus al 1o Octubre del 2005 detecta y elimina este gusano.