SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nueva y sofisticada variante
del gusano W32/Mywife con payload
destructivo el dia 3 de cada mes
Nombre de virus: W32/MyWife.d@MM
Alias conocidos: CME-24, Nyxem.E, W32.Blackmal.E@mm, W32/Grew.A!wm, W32/Kapser.A@mm, W32/Nyxem-D,
Win32/Blackmal.F, WORM_GREW.A
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: A través de correo electrónico y comparticiones
de red.
Activación: Por
ejecución de fichero .PIF, .SCR o .EXE incluido en el zip adjunto al mensaje
Detección: desde
DATS 4679
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)
Este gusano se detecta de manera proactiva por los DAT 4642 y superiores, como W32/Generic.worm!p2p. A partir de los DAT 4677 y superiores se detecta específicamente como W32/MyWife.d@MM
Se trata de un gusano de correo masivo (mass-mailing) con las siguientes características:
- contiene su propio motor SMTP para construir mensajes salientes
- propaga a través de recursos compartidos de red
- intenta disminuir los parámetros de seguridad y desactivar software de seguridad
- sobreescribe ficheros el día 3 de cada mes
Componente de correo electrónico
El virus llega en un mensaje de correo electrónico similar al siguiente:
From: (La dirección del remitente del mensaje es falseada)
No asuma que la dirección del remitente sea una indicación de que el remitente está infectado. Adicionalmente, puede recibir mensajes de alerta de un servidor de correo indicando que está infectado, lo cual no tiene porqué ser cierto.
Asunto: (Variable, uno de los siguientes)
- Photos
- My photos
- School girl fantasies gone bad
- Part 1 of 6 Video clipe
- *Hot Movie*
- Re:
- Fw: Picturs
- Fw: Funny :)
- Fwd: Photo
- Fwd: image.jpg
- Fw: Sexy
- Fw:
- Fwd: Crazy illegal Sex!
- Fw: Real show
- Fw: SeX.mpg
- Fw: DSC-00465.jpg
- Re: Sex Video
- Word file
- the file
- eBook.pdf
- Miss Lebanon 2006
- A Great Video
- give me a kiss
Mensaje: (Variable, uno de los siguientes)
- Note: forwarded message attached.
- You Must View This Videoclip!
- >> forwarded message
- i just any one see my photos.
- forwarded message attached.
- Please see the file.
- ----- forwarded message -----
- The Best Videoclip Ever
- Hot XXX Yahoo Groups
- F***in Kama Sutra pics
- ready to be F***ED ;)
- VIDEOS! FREE! (US$ 0,00)
- It's Free :)
- hello,
- i send the file.
- bye
- hi
- i send the details
- i attached the details.
- how are you?
- What?
- Thank you
- i send the details.
- OK ?
Adjunto:
Los ficheros adjuntos al mensaje pueden ser el propio ejecutable o un fichero MIME codificado que contiene el ejecutable.
El nombre del fichero ejecutable se escoge de la lista siguiente:
- 04.pif
- 007.pif
- School.pif
- photo.pif
- DSC-00465.Pif
- Arab sex DSC-00465.jpg
- image04.pif
- 677.pif
- DSC-00465.pIf
- New_Document_file.pif
- eBook.PIF
- document.pif
El nombre de los ficheros codificados MIME se escoge de la siguiente lista:
- SeX.mim
- Sex.mim
- WinZip.BHX
- 3.92315089702606E02.UUE
- Attachments[001].B64
- eBook.Uu
- Word_Document.hqx
- Word_Document.uu
- Attachments00.HQX
- Attachments001.BHX
- Video_part.mim
El nombre de fichero dentro del MIME codificado se escoge de la
siguiente lista:
- Attachments[001],B64 .sCr
- 392315089702606E-02,UUE .scR
- SeX,zip .scR
- WinZip.zip .sCR
- ATT01.zip .sCR
- Word.zip .sCR
- Word XP.zip .sCR
- New Video,zip .sCr
- Atta[001],zip .SCR
- Attachments,zip .SCR
- Clipe,zip .sCr
- WinZip,zip .scR
- Adults_9,zip .sCR
- Photos,zip .sCR
Cuando este fichero se ejecuta, se copia en el directorio de sistema de Windows, con uno o
más de los siguientes nombres.
- %SysDir% \Winzip.exe
- %SysDir% \Update.exe
- %SysDir% \scanregw.exe
- %WinDir% \Rundll16.exe
- %WinDir% \winzip_tmp.exe
- c:\winzip_tmp.exe
- %Temp% \word.zip .exe
(Donde %Sysdir% es el directorio de sistema de Windows - por ejemplo C:\WINDOWS\SYSTEM - %WinDir% es el directorio Windows, y %Temp% es el Directorio Temporal)
Genera la siguiente entrada de registro para interceptar el inicio de Windows:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\ScanRegistry="scanregw.exe /scan"
Componente de Compartición de Red:
El gusano intentará copiarse a las siguientes comparticiones, utilizando la autenticación actual del usuario:
- C$\documents and settings\all users\start menu\programs\startup\winzip quick pick.exe
- Admin$\winzip_tmp.exe
- C$\winzip_tmp.exe
El gusano crea tareas planificadas para ejecutar winzip_tmp.exe durante el minuto 59 de cada hora.
Modificación de Parámetros de Seguridad:
Modifica las siguientes claves de registro para disminuir los parámetros de seguridad:
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\NotifyDownloadComplete="7562617"
- HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet="1"- HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass="1"- HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\ZoneMap\IntranetName="1"- HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\Explorer\Advanced\WebView="0"- HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\Explorer\Advanced\ShowSuperHidden="0"- HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState\FullPath="0"
Modifica las claves de registro bajo la siguiente clave, a fin de desactivar software de seguridad:
- SOFTWARE\Classes\Licenses
Borra los ficheros .EXE o .PPL que encuentre dentro de las carpetas listadas en las siguientes entradas de registro:
- HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk
\VirusProtect6\CurrentVersion- HKEY_LOCAL_MACHINE\Software\Symantec\InstalledApps
- HKEY_LOCAL_MACHINE\Software\KasperskyLab\Components
\101- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum- HKEY_LOCAL_MACHINE\Software\KasperskyLab
\InstalledProducts\Kaspersky Anti-Virus Personal- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\App Paths\Iface.exe
El gusano intenta borrar los siguientes ficheros:
- %ProgramFiles% \DAP\*.dll
- %ProgramFiles% \BearShare\*.dll
- %ProgramFiles% \Symantec\LiveUpdate\*.*
- %ProgramFiles% \Symantec\Common Files\Symantec Shared\*.*
- %ProgramFiles% \Norton AntiVirus\*.exe
- %ProgramFiles% \Alwil Software\Avast4\*.exe
- %ProgramFiles% \McAfee.com\VSO\*.exe
- %ProgramFiles% \McAfee.com\Agent\*.*
- %ProgramFiles% \McAfee.com\shared\*.*
- %ProgramFiles% \Trend Micro\PC-cillin 2002\*.exe
- %ProgramFiles% \Trend Micro\PC-cillin 2003\*.exe
- %ProgramFiles% \Trend Micro\Internet Security\*.exe
- %ProgramFiles% \NavNT\*.exe
- %ProgramFiles% \Morpheus\*.dll
- %ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
- %ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
- %ProgramFiles% \Grisoft\AVG7\*.dll
- %ProgramFiles% \TREND MICRO\OfficeScan\*.dll
- %ProgramFiles% \Trend Micro\OfficeScan Client\*.exe
- %ProgramFiles% \LimeWire\LimeWire 4.2.6\LimeWire.jar
También intenta borrar ficheros de las siguientes ubicaciones en comparticiones de red:
- \C$\Program Files\Norton AntiVirus
- \C$\Program Files\Common Files\symantec shared
- \C$\Program Files\Symantec\LiveUpdate
- \C$\Program Files\McAfee.com\VSO
- \C$\Program Files\McAfee.com\Agent
- \C$\Program Files\McAfee.com\shared
- \C$\Program Files\Trend Micro\PC-cillin 2002
- \C$\Program Files\Trend Micro\PC-cillin 2003
- \C$\Program Files\Trend Micro\Internet Security
- \C$\Program Files\NavNT
- \C$\Program Files\Panda Software\Panda Antivirus Platinum
- \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
- \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
- \C$\Program Files\Panda Software\Panda Antivirus 6.0
- \C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
Monitoriza las siguientes cadenas en la navegación a Internet:
- YAHOO! MAIL -
- @YAHOOGROUPS
- BLOCKSENDER
- SCRIBE
- YAHOOGROUPS
- TREND
- PANDA
- SECUR
- SPAM
- ANTI
- CILLIN
- CA.COM
- AVG
- GROUPS.MSN
- NOMAIL.YAHOO.COM
- EEYE
- MICROSOFT
- HOTMAIL
- MSN
- MYWAY
- GMAIL.COM
- @HOTMAIL
- @HOTPOP
El gusano cerrará aplicaciones cuyo título contenga una de las siguientes cadenas:
- SYMANTEC
- SCAN
- KASPERSKY
- VIRUS
- MCAFEE
- TREND MICRO
- NORTON
- REMOVAL
- FIX
Los valores de la siguiente lista se borran de las claves del registro Run y Runservices, para evitar su reinicio:
- PCCIOMON.exe
- pccguide.exe
- Pop3trap.exe
- PccPfw
- tmproxy
- McAfeeVirusScanService
- NAV Agent
- PCCClient.exe
- SSDPSRV
- rtvscn95
- defwatch
- vptray
- ScanInicio
- APVXDWIN
- KAVPersonal50
- kaspersky
- TM Outbreak Agent
- AVG7_Run
- AVG_CC
- Avgserv9.exe
- AVGW
- AVG7_CC
- AVG7_EMC
- Vet Alert
- VetTray
- OfficeScanNT Monitor
- avast!
- DownloadAccelerator
- BearShare
Payload de Activación por Fecha
El día 3 de cualquier mes, aproximadamente 30 minutos después de iniciar el sistema infectado, el gusano sobreescribe ficheros con las siguientes extensiones, con el texto "DATA Error [47 0F 94 93 F4 K5]", dejando los ficheros a 32 bytes de tamaño:
- DOC
- XLS
- MDB
- MDE
- PPT
- PPS
- ZIP
- RAR
- PSD
- DMP
Contador de Infección
Siempre que una máquina se infecta inicialmente el gusano conecta a un website para incrementar un contador:
- webstats.web.rcn.net/cgi-bin/Count.cgi [censurado]
Icono de Bandeja
El gusano añade un icono en la bandeja de sistema, visualizando la cadena "Update Please wait" si se encuentra una de estas carpetas en %Program Files% :
- Norton Antivirus
- Kaspersky Lab
- Panda Software
Método de Infección
Este gusano intenta propagar via email y copiarse a comparticiones locales.
El componente de mailing recopila direcciones del sistema local de fichero que tengan alguna de las siguientes extensiones:
- .HTM
- .DBX
- .EML
- .MSG
- .OFT
- .NWS
- .VCF
- .MBX
- .IMH
- .TXT
- .MSF
- CONTENT.
Detección y eliminación
El gusano se controla desde los DAT
4679, para su eliminación se recomienda ejecutar
nuestra utilidad ELIMYWIF.
SATINFO, VIRUSCAN SPAIN SERVICE 26 de Enero de 2006
