NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

 

Gusano de Internet que se propaga explotando vulnerabilidades MS04-011, MS03-026, a través de correo electrónico, y haciendo copias en recursos disponibles de la red.

 

Nombre de virus: W32/Plexus@MM
Alias conocidos: I-Worm.Plexus.a, W32.Explet.A@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por agujeros de seguridad del sistema, email y recursos compartidos.
Activación: Por ejecución de fichero .EXE
Detección: desde DATS 4365
Motor necesario: desde 4.2.40
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Plexus@MM es un gusano que se propaga por diferentes métodos:

  • explotando una vulnerabilidad de Microsoft Windows [MS04-011 vulnerability (CAN-2003-0533) 'LSASS']
  • haciendo uso de la vulnerabilidad RPC Interface Buffer Overflow (7.17.03) también conocida como MS03-026.
  • enviándose por email a todas la direcciones recopiladas del equipo infectado (modifica la dirección remitente del mensaje)
  • copiándose a través de la red

 

Para evitar la propagación mediante el primer método, los usuarios deberían instalar la actualización de Microsoft para el exploit que utiliza este gusano. Ver la siguiente URL para más información:

http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp


Propagación por email

El virus contiene su propio motor SMTP para construir mensajes salientes. Las direcciones email destino las recopila de ficheros de unidades locales y mapeadas de la máquina infectada. Busca direcciones en los ficheros con las siguientes extensiones:

  • htm
  • html
  • php
  • tbb
  • txt

 

Falsea la dirección remitente de los mensajes que envía (puede utilizar cadenas preestablecidas en el código del gusano, o bien direcciones de email aleatorias que extrae del equipo infectado).

El virus excluye específicamente ciertas direcciones de email de su lista destino.

Los mensajes salientes presentan las siguientes características:

Asunto: Utiliza una de las siguientes líneas:

  • RE: order
  • Good offer.
  • For you
  • RE:
  • Hi, Mike

 

Adjunto: El fichero adjunto tendrá uno de los siguientes nombres de fichero:

  • SecUNCE.exe
  • AtlantI.exe
  • AGen1.03.exe
  • demo.exe
  • release.exe

 

Mensaje: Puede ser uno de los siguientes:

  • Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
  • Hi, my darling :)
    Look at my new screensaver. I hope you will enjoy...
    Your Liza
  • Hi.
    Here is the archive with those information, you asked me.
    And don't forget it is strongly confidential!!!
    Seya, man.
    P.S. Don't forget my fee ;)
  • My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :)
    And please do not distribute it. It's private.
  • Hi, Nick. In this archive you can find all those things, you asked me.
    See you, Steve.

 

Propagación por Recursos Compartidos

El virus se copia a recursos disponibles de la red y a la carpeta compartida de KaZaa, utilizando los siguientes nombres:

  • AVP5.xcrack.exe
  • ICQBomber.exe
  • hx00def.exe
  • InternetOptimizer1.05b.exe
  • Shrek_2.exe
  • UnNukeit9xNTICQ04noimageCrk.exe
  • YahooDBMails.exe


Componente BackDoor

El virus abre el puerto 1250 (TCP) en el equipo víctima. Esto permite al hacker subir y ejecutar remotamente un fichero en el equipo infectado. Una vez establecida tal conexión, el gusano salva el fichero como _UP.EXE en un directorio temporal, y lo ejecuta.


Síntomas

El virus sobreescribe el fichero local hosts para impedir la actualización de un producto antivirus específico (Kaspersky). Los ficheros hosts sobreescritos serán detectados como W32/Plexus@MM!hosts con los DAT especificados.

Instalación

El virus se instala como UPU.EXE en el directorio de sistema del equipo infectado, por ejemplo:

  • C:\WINNT\SYSTEM32\UPU.EXE

 

También configura una clave de registro para ejecutar el virus en el inicio del sistema:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "NvClipRsv" = C:\WINNT\SYSTEM32\UPU.EXE

 

El virus abre el puerto TCP 1250 del equipo infectado (para subir el fichero backdoor antes indicado). Adicionalmente, abre también otros puertos aleatorios.

Un efecto paralelo de la propagación del gusano por MS04-011, es que el crash provocado en LSASS.EXE hará que la máquina reinicie. Puede visualizarse la siguiente ventana:

Detección y eliminación

El gusano se controla desde los DAT 4365 , para su eliminación se recomienda ejecutar nuestra utilidad ELILSA.

SATINFO, VIRUSCAN SPAIN SERVICE 10 de Junio de 2004

Anterior