SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Propagación media de un nuevo
gusano masivo de e-mail y comparticiones de red.
Se han publicado nuevos DAT 4265 para su control
Nombre de virus:
W32/Sobig.b@MM (W32/Palyh@MM)
Alias conocidos: W32.HLLM,
W32.HLLW.Manx@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Como
fichero adjunto a e-mail y a través de comparticiones de red
Activación: Por ejecución de fichero infectado
Detección: desde DATS
4265
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)
Se trata de un gusano mass-mail que presenta muchas similitudes con w32/Sobig@MM. Está escrito en Microsoft Visual C y empaquetado con UPX. Se propaga a través de email y a través de comparticiones de red. Contiene su propio motor SMTP para construir mensajes salientes.
Propagación a través de correo electrónico
El gusano se envía a las direcciones destino recopiladas en la máquina
infectada, construyendo mensajes mediante su propio motor SMTP. Al igual que hacia
w32/Sobig@MM, el fichero adjunto puede utilizar extensión ".PI" (en lugar de
".PIF").
Las direcciones e-mail las extrae de ficheros con las siguientes extensiones:
· WAB
· DBX
· HTM
· HTML
· EML
· TXT
El gusano puede llegar en un mensaje con las siguientes características:
De: support@microsoft.com
Asunto:
· Re: My application
· Re: Movie
· Cool screensaver
· Screensavers
· Re: My details
· Your password
· Re: Approved (Red. 3394-65467)
· Approved (Ref. 38446-263)
· Your details
Adjunto:
Nota: Como se menciona anteriormente, la extensión del fichero puede aparecer truncada a .PI en lugar de .PIF.
· approved.pif
· ref-394755.pif
· password.pif
· ref-394755.pif
· application.pif
· screen_doc.pif
· screen_temp.pif
· movie28.pif
· download1053122425102485703.uue
· doc_details.pif
· _approved.pif
Mensaje:
All information is in the attached file.Propagación a través de comparticiones de
red
El gusano enumera las comparticiones de red, y luego intenta copiarse a los
siguientes destinos de red si están accesibles:
· \Documents and Settings\All Users\Start Menu\Programs\Startup\
· \Windows\All Users\Start Menu\Programs\Startup\
Instalación
Tras su ejecución, el gusano genera los siguientes ficheros en el
directorio %windir%:
· "msccn32.exe" (approx 50kB) (una copia de sí mismo)
· "hnks.ini" (fichero de configuración)
· "mdbrr.ini" (fichero de configuración)
Las siguientes claves de registro se añaden para interceptar el
inicio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe
(donde %WinDir% es el directorio de Windows por defecto, por ejemplo C:\WINNT, C:\WINDOWS etc.)
Eliminación
El gusano se controla desde los DAT arriba indicados (mínimo
4265). Para detener el proceso en memoria del gusano, y eliminar ficheros y claves de
registro creadas, pueden ejecutar nuestra utilidad ELIPALYA
SATINFO, VIRUSCAN SPAIN SERVICE 19 de Mayo de 2003
