NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Múltiples variantes de virus w32/Mytob durante los 3 últimos meses.

Nombre de virus: W32/Mytob.gen@MM
Alias conocidos:
Net-Worm.Win32.Mytob, W32.Mytob
Riesgo Infección:
Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
Por correo electrónico
Activación: Por ejecución manual de fichero .bat, .exe, .pif, .cmd, .scr
Detección: desde DATS 4438 (control actualizado con DATS 4505)
Motor necesario: desde 4.4.00
Infección actual:
Inicial (Inicial, Media, Elevada)

W32/Mytob.gen@MM es una detección genérica que identifica a más de 140 variantes de Mytob, virus de correo electrónico que comenzó a propagar en febrero de este año 2005.

Muchas de sus variantes son simples versiones reempaquetadas del mismo código binario, y la mayoría de variantes funcionan de manera similar. La rutina de envío por correo electrónico suele ser la misma, mientras que la funcionalidad bot ha ido evolucionando como la utilizada por familia del gusano Sdbot. Las variantes mas nuevas incluyen el FURootkit, un componente gusano Instant Messenger (detectado como W32/Mytob.worm!im), y propagan haciendo uso de las vulnerabilidades LSASS y DCOM RPC.

Como decimos, esta detección cubre múltiples variantes de un gusano mass-mailing que combina la funcionalidad de W32/Mydoom@MM con la de W32/Sdbot.worm. La siguiente descripción sirve como un ejemplo de algunas de las variantes:

El virus llega en un mensaje de correo electrónico similar a :

 

From: (remitente de correo ficticio)
No asuma que la dirección remitente es una indicación que el remitente está infectado. Adicionalmente, usted puede recibir mensajes de alerta de un servidor de correo diciéndole que está infectado, cuando puede no ser el caso.

Asunto: (es variable, algunos ejemplos a continuación)

  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi


Mensaje: (es variable, algunos ejemplos a continuación)

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available

 

 

Adjunto: (variable [.bat, .exe, .pif, .cmd, .scr] - a menudo llega en un empaquetado ZIP)

  • examples (nombres comunes, pero pueden ser aleatorios)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr


En el caso de un fichero con doble extensión pueden haber espacios en su nombre, por ejemplo:

  • document.htm (varios espacios) .pif

 

Cuando el adjunto se ejecuta, el virus hace una copia de sí mismo al directorio WINDOWS SYSTEM (generalmente c:\windows\system32) como wfdmgr.exe . Crea claves de registro para cargar el fichero al inicio:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run "LSA" = wfdmgr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "LSA" = wfdmgr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices "LSA" = wfdmgr.exe

 

Se crean claves/valores adicionales, típicamente asociadas a W32/Sdbot.worm:

  • HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa "LSA" = wfdmgr.exe
  • HKEY_CURRENT_USER\Software\Microsoft\OLE
    "LSA" = wfdmgr.exe

 

 

Síntomas

La funcionalidad Sdbot en el gusano ha sido diseñada para contactar con un servidor IRC denominado irc.blackcarder.net, participar en un canal especificado, y esperar más instrucciones. Este bot puede aceptar comandos para descargar y ejecutar otros programas. El bot también contiene código para propagar mediante el exploit LSASS [ <http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx>]

 

Detección y eliminación

El gusano se controla desde los DAT 4438 (detección mejorada e inclusión de últimas variantes conocidas hasta la fecha en DATs 4505), para su eliminación se recomienda ejecutar nuestra utilidad ELITRIIP.

SATINFO, VIRUSCAN SPAIN SERVICE 02 de Junio de 2005

Anterior