SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Múltiples variantes de virus
w32/Mytob durante los 3 últimos meses.
Nombre de virus: W32/Mytob.gen@MM
Alias conocidos: Net-Worm.Win32.Mytob, W32.Mytob
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por
ejecución manual de fichero .bat, .exe, .pif, .cmd, .scr
Detección: desde
DATS 4438 (control actualizado con DATS 4505)
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)
W32/Mytob.gen@MM es una detección genérica que identifica a más de 140 variantes de Mytob, virus de correo electrónico que comenzó a propagar en febrero de este año 2005.
Muchas de sus variantes son simples versiones reempaquetadas del mismo código binario, y la mayoría de variantes funcionan de manera similar. La rutina de envío por correo electrónico suele ser la misma, mientras que la funcionalidad bot ha ido evolucionando como la utilizada por familia del gusano Sdbot. Las variantes mas nuevas incluyen el FURootkit, un componente gusano Instant Messenger (detectado como W32/Mytob.worm!im), y propagan haciendo uso de las vulnerabilidades LSASS y DCOM RPC.
Como decimos, esta detección cubre múltiples variantes de un gusano mass-mailing que combina la funcionalidad de W32/Mydoom@MM con la de W32/Sdbot.worm. La siguiente descripción sirve como un ejemplo de algunas de las variantes:
El virus llega en un mensaje de correo electrónico similar a :
From: (remitente de correo ficticio)
No asuma que la dirección remitente es una indicación que el remitente está
infectado. Adicionalmente, usted puede recibir mensajes de alerta de un servidor de correo
diciéndole que está infectado, cuando puede no ser el caso.
Asunto: (es variable, algunos ejemplos a continuación)
- Error
- Status
- Server Report
- Mail Transaction Failed
- Mail Delivery System
- hello
- hi
Mensaje: (es variable, algunos ejemplos a continuación)
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available
Adjunto: (variable [.bat, .exe, .pif, .cmd, .scr] - a menudo llega en un empaquetado ZIP)
- examples (nombres comunes, pero pueden ser aleatorios)
- doc.bat
- document.zip
- message.zip
- readme.zip
- text.pif
- hello.cmd
- body.scr
- test.htm.pif
- data.txt.exe
- file.scr
En el caso de un fichero con doble extensión pueden
haber espacios en su nombre, por ejemplo:
- document.htm (varios espacios) .pif
Cuando el adjunto se ejecuta, el virus hace una copia de sí mismo al directorio WINDOWS SYSTEM (generalmente c:\windows\system32) como wfdmgr.exe . Crea claves de registro para cargar el fichero al inicio:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "LSA" = wfdmgr.exe- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "LSA" = wfdmgr.exe- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices "LSA" = wfdmgr.exe
Se crean claves/valores adicionales, típicamente asociadas a W32/Sdbot.worm:
- HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa "LSA" = wfdmgr.exe
- HKEY_CURRENT_USER\Software\Microsoft\OLE
"LSA" = wfdmgr.exe
Síntomas
La funcionalidad Sdbot en el gusano ha sido diseñada para contactar con un servidor IRC denominado irc.blackcarder.net, participar en un canal especificado, y esperar más instrucciones. Este bot puede aceptar comandos para descargar y ejecutar otros programas. El bot también contiene código para propagar mediante el exploit LSASS [ <http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx>]
Detección y eliminación
