NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de virus w32/MyDoom de PROPAGACIÓN MEDIA.

Nombre de virus: W32/MyDoom.ah@MM
Alias conocidos: W32.Mydoom.AH@mm, Win32/Mydoom.AH@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico.
Activación: Por hacer link sobre enlace en el mensaje
Detección: desde DATS 4405
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)

Esta variante de W32/Mydoom@MM hace uso de un ataque zero day aprovechando la vulnerabilidad Microsoft Internet Explorer IFRAME buffer overflow. Es muy similar a la variante previa W32/Mydoom.ag@MM .

El virus se propaga enviando mensajes de email a direcciones que encuentra en el sistema local, así como a direcciones construidas por el virus. El mensaje tiene el siguiente formato:

Remitente (From): dirección falseada (puede ser exchange-robot@paypal.com cuando envía el mensaje de paypal que reproducimos más abajo)

 

Asunto: (puede variar según el caso)

  • hi!
  • hey!
  • Confirmation
  • blank

 

Mensaje: (uno de los siguientes)
______________________________

Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.

To see details please click this link <http://vil.mcafeesecurity.com/vil/content/>.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.

Thank you for using PayPal.
______________________________

ó

______________________________

Hi! I am looking for new friends.

My name is Jane, I am from Miami, FL.

See my homepage <http://vil.mcafeesecurity.com/vil/content/>with my weblog and last webcam photos!

See you!
______________________________

 

ó
______________________________

Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage <http://vil.mcafeesecurity.com/vil/content/> with my last webcam photos!
______________________________


La cabecera del mensaje puede contener uno de los siguientes campos:

  • X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
  • X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
  • X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software



No hay adjunto al mensaje. El hiperenlace homepage o link apunta al sistema infectado que envió el mensaje de correo. Haciendo click en el enlace, accede a un servidor web que sirve un HTML, el cual contiene el código IFRAME buffer overflow para ejecutar automáticamente el virus.

Los sistemas infectados mostrarán a Windows Explorer escuchando en el puerto TCP 1639, el puerto donde se ejecuta el servidor.

Cuando un usuario pulsa sobre un hiperenlace enviado por el virus, se conecta al equipo infectado (http:// dirección IP de host infectado que envió el mensaje de email: 1639/index.htm). La página webcam.htm servida provoca un desbordamiento de buffer en Internet Explorer. Se ejecuta entonces código shell, que ordena al equipo local que descargue un fichero remoto (http:// dirección IP :1639/reactor) y lo salve como fichero local %desktop%\vv.dat para luego ejecutarlo.


Síntomas
Cuando se ejecuta, el virus crea un fichero en el directorio WINDOWS SYSTEM (%WinDir%\system32) con un nombre aleatorio que acaba en 32.exe. Se crea una clave run de registro para cargar el virus al inicio del sistema, por ejemplo:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "Reactor3" = C:\WINDOWS\System32\heztiv32.exe

También crea otras claves:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Explorer\ComExplore
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Explorer\ComExplore\Version
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\ComExplore
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\ComExplore\Version

El gusano contiene una lista de servidores IRC con los que intenta conectar en el puerto TCP 6667:

  • qis.md.us.dal.net
  • ced.dal.net
  • viking.dal.net
  • vancouver.dal.net
  • ozbytes.dal.net
  • broadway.ny.us.dal.net
  • coins.dal.net
  • lulea.se.eu.undernet.org
  • diemen.nl.eu.undernet.org
  • london.uk.eu.undernet.org
  • washington.dc.us.undernet.org
  • los-angeles.ca.us.undernet.org
  • brussels.be.eu.undernet.org
  • caen.fr.eu.undernet.org
  • flanders.be.eu.undernet.org
  • graz.at.eu.undernet.org

 


Detección y eliminación

El gusano se controla desde los DAT 4405 , para su eliminación se recomienda ejecutar nuestra utilidad ELIMYDOA.

SATINFO, VIRUSCAN SPAIN SERVICE 11 de Noviembre de 2004

Anterior