NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

 

Gusano de Internet que propaga por email, sin fichero adjunto, explotando vulnerabilidad MS04-013

 

 

Nombre de virus: W32/Wallon.worm.a
Alias conocidos: I-Worm.Wallon, WORM_WALLON.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Pulsando sobre link preparado para explotar vulnerabilidad MS04-013
Detección: desde DATS 4360
Motor necesario: desde 4.2.40
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Wallon.worm.a es un gusano mass-mail, que propaga un hiperenlace a direcciones de correo destino que encuentra en el sistema local. También intenta recopilar direcciones de email, y enviarlas a una dirección específica (probablemente para enviar SPAM en un futuro).

Propagación por email
Los mensajes enviados por el gusano tienen el siguiente formato:

 

Asunto: RE:
Mensaje: http://drs.yahoo.com/%dominio del destinatario% / NEWS
Adjunto: no hay adjunto

El cuerpo del mensaje simplemente contiene un hiperenlace, que está diseñado para engañar al usuario, haciéndole creer que irá a un sitio Yahoo News, cuando en realidad será redirigido a una página del dominio www.security-warning.biz.

Un click sobre el enlace del mensaje de correo, lleva al usuario a un sitio web, que a su vez le redirige a otro. Esta redirección puede ocurrir múltiples veces, hasta llegar a una página web que contiene código exploit para instalar un troyano, el cual descarga e instala el virus.

La direcciones recopiladas de la máquina local se envían a la dirección 1@600pics.cjb.net

El gusano también navega a un website pornográfico pixpox.com.


Síntomas

El gusano crea la siguiente clave de registro:

· HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Wh" = Yes

 


Método de infección

Las direcciones de correo las recopila de la libreta de direcciones de Windows (WAB). El gusano contiene su propio motor SMTP, y utiliza el servidor SMTP por defecto especificado en el Administrador de Cuenta de Internet.

La página web final a donde es redirigido el usuario, contiene un código exploit de Internet Explorer, (esta página explota MS04-013 y se detecta como Exploit-MhtRedir.gen ). Dicho exploit descarga un fichero CHM, que contiene a su vez otro exploit de Internet Explorer (MS04-004 , detectado como VBS/Psyme), que descarga un fichero y sobreescribe al existente wmplayer.exe.

· %ProgramFiles%\Windows Media Player\wmplayer.exe

Este fichero descarga e instala el gusano Wallon.

Detección y eliminación

El gusano se controla desde los DAT 4360 , para su eliminación se recomienda ejecutar nuestra utilidad ELIWALLA.

SATINFO, VIRUSCAN SPAIN SERVICE 21 de Mayo de 2004

Anterior