NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Gusano de correo electrónico que hace referencia en adjunto a mcafee.com y que instala troyano keylogger.

Nombre de virus: W32/Buchon.c@MM
Alias conocidos: W32/Buchon.c!keylog
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución manual de fichero
Detección: desde DATS 4420
Motor necesario: desde 4.3.20
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Buchon.c@MM es un gusano de correo electrónico que presenta las siguientes características:

  • contiene su propio motor SMTP para generar mensajes salientes
  • falsea la dirección From: (remitente)
  • recopila direcciones email destino del equipo infectado
  • genera un troyano (keylogging y proxy) en el equipo infectado

 


Propagación por correo electrónico

Las direcciones de email se recopilan de las siguientes extensiones de fichero:

  • .dbx
  • .wab
  • .mbx
  • .eml
  • .mdb
  • .tbb
  • .txt
  • .html
  • .htm
  • .doc
  • .rtf
  • .cgi
  • .php
  • .asp
  • inbox
  • .dat

 

Los mensajes salientes presentan el siguiente formato:

Remitente: Falseado

Asunto: Mail Delivery failure - (el gusano inserta aquí la dirección destino)

Mensaje:
If the message will not displayed automatically,
you can check original in attached message.txt

Failed message also saved at:
www.(insert server name)/inbox/security/read.asp?
sessionid-(random number)
(check attached instructions)

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

Adjunto: Copia del gusano con el siguiente nombre de fichero:

  • message txt (varios espacios) tamaño (número aleatorio) bytes (varios espacios) mcafee.com

un ejemplo de fichero adjunto podría ser: 'message txt 1346 bytes mcafee.com'


Método de infección

El gusano no se instala en el equipo infectado. En su lugar, genera e instala un troyano (keylogging y proxy). El troyano se genera como CSRSS.EXE en la raíz de C:, por ejemplo:

  • C:\CSRSS.EXE

 

En la carpeta de sistema de Windows 2000 y Windows XP existe un fichero CSRSS.EXE legítimo, por lo que el gusano w32/Buchon pretende copiarse con este mismo nombre (pero en la ruta c:\ ), para pasar como proceso desapercibido, como si se tratara de un ejecutable de sistema.

 

La siguiente clave de registro se añade para ejecutar el troyano al inicio del sistema:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
    \Run "Windowsupdate Service" = C:\CSRSS.EXE

 

Troyano Generado

El troyano escribe los datos que registra a un fichero CSRSS.BIN, también en la raíz de C:

  • C:\CSRSS.BIN

 

Detección y eliminación

El gusano se controla desde los DAT 4420 , para su eliminación se recomienda ejecutar nuestra utilidad ELINETSA.

SATINFO, VIRUSCAN SPAIN SERVICE 20 de Enero de 2005

Anterior