NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Nueva y sofisticada variante del gusano W32/Mywife con payload destructivo el dia 3 de cada mes

Nombre de virus: W32/MyWife.d@MM
Alias conocidos:
CME-24, Nyxem.E, W32.Blackmal.E@mm, W32/Grew.A!wm, W32/Kapser.A@mm, W32/Nyxem-D, Win32/Blackmal.F, WORM_GREW.A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
A través de correo electrónico y comparticiones de red.
Activación: Por ejecución de fichero .PIF, .SCR o .EXE incluido en el zip adjunto al mensaje
Detección: desde DATS 4679
Motor necesario: desde 4.4.00
Infección actual:
Inicial (Inicial, Media, Elevada)

Este gusano se detecta de manera proactiva por los DAT 4642 y superiores, como W32/Generic.worm!p2p. A partir de los DAT 4677 y superiores se detecta específicamente como W32/MyWife.d@MM

Se trata de un gusano de correo masivo (mass-mailing) con las siguientes características:

  • contiene su propio motor SMTP para construir mensajes salientes
  • propaga a través de recursos compartidos de red
  • intenta disminuir los parámetros de seguridad y desactivar software de seguridad
  • sobreescribe ficheros el día 3 de cada mes

 

Componente de correo electrónico

El virus llega en un mensaje de correo electrónico similar al siguiente:

From: (La dirección del remitente del mensaje es falseada)

 

No asuma que la dirección del remitente sea una indicación de que el remitente está infectado. Adicionalmente, puede recibir mensajes de alerta de un servidor de correo indicando que está infectado, lo cual no tiene porqué ser cierto.

Asunto: (Variable, uno de los siguientes)

  • Photos
  • My photos
  • School girl fantasies gone bad
  • Part 1 of 6 Video clipe
  • *Hot Movie*
  • Re:
  • Fw: Picturs
  • Fw: Funny :)
  • Fwd: Photo
  • Fwd: image.jpg
  • Fw: Sexy
  • Fw:
  • Fwd: Crazy illegal Sex!
  • Fw: Real show
  • Fw: SeX.mpg
  • Fw: DSC-00465.jpg
  • Re: Sex Video
  • Word file
  • the file
  • eBook.pdf
  • Miss Lebanon 2006
  • A Great Video
  • give me a kiss


Mensaje: (Variable, uno de los siguientes)

  • Note: forwarded message attached.
  • You Must View This Videoclip!
  • >> forwarded message
  • i just any one see my photos.
  • forwarded message attached.
  • Please see the file.
  • ----- forwarded message -----
  • The Best Videoclip Ever
  • Hot XXX Yahoo Groups
  • F***in Kama Sutra pics
  • ready to be F***ED ;)
  • VIDEOS! FREE! (US$ 0,00)
  • It's Free :)
  • hello,
  • i send the file.
  • bye
  • hi
  • i send the details
  • i attached the details.
  • how are you?
  • What?
  • Thank you
  • i send the details.
  • OK ?


Adjunto:

Los ficheros adjuntos al mensaje pueden ser el propio ejecutable o un fichero MIME codificado que contiene el ejecutable.

El nombre del fichero ejecutable se escoge de la lista siguiente:

  • 04.pif
  • 007.pif
  • School.pif
  • photo.pif
  • DSC-00465.Pif
  • Arab sex DSC-00465.jpg
  • image04.pif
  • 677.pif
  • DSC-00465.pIf
  • New_Document_file.pif
  • eBook.PIF
  • document.pif


El nombre de los ficheros codificados MIME se escoge de la siguiente lista:

  • SeX.mim
  • Sex.mim
  • WinZip.BHX
  • 3.92315089702606E02.UUE
  • Attachments[001].B64
  • eBook.Uu
  • Word_Document.hqx
  • Word_Document.uu
  • Attachments00.HQX
  • Attachments001.BHX
  • Video_part.mim

El nombre de fichero dentro del MIME codificado se escoge de la siguiente lista:

  • Attachments[001],B64 .sCr
  • 392315089702606E-02,UUE .scR
  • SeX,zip .scR
  • WinZip.zip .sCR
  • ATT01.zip .sCR
  • Word.zip .sCR
  • Word XP.zip .sCR
  • New Video,zip .sCr
  • Atta[001],zip .SCR
  • Attachments,zip .SCR
  • Clipe,zip .sCr
  • WinZip,zip .scR
  • Adults_9,zip .sCR
  • Photos,zip .sCR


Cuando este fichero se ejecuta, se copia en el directorio de sistema de Windows, con uno o más de los siguientes nombres.

  • %SysDir% \Winzip.exe
  • %SysDir% \Update.exe
  • %SysDir% \scanregw.exe
  • %WinDir% \Rundll16.exe
  • %WinDir% \winzip_tmp.exe
  • c:\winzip_tmp.exe
  • %Temp% \word.zip .exe

 

(Donde %Sysdir% es el directorio de sistema de Windows - por ejemplo C:\WINDOWS\SYSTEM - %WinDir% es el directorio Windows, y %Temp% es el Directorio Temporal)


Genera la siguiente entrada de registro para interceptar el inicio de Windows:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \CurrentVersion\Run\ScanRegistry="scanregw.exe /scan"

 

Componente de Compartición de Red:

El gusano intentará copiarse a las siguientes comparticiones, utilizando la autenticación actual del usuario:

  • C$\documents and settings\all users\start menu\programs\startup\winzip quick pick.exe
  • Admin$\winzip_tmp.exe
  • C$\winzip_tmp.exe

 

El gusano crea tareas planificadas para ejecutar winzip_tmp.exe durante el minuto 59 de cada hora.

 

 

Modificación de Parámetros de Seguridad:

Modifica las siguientes claves de registro para disminuir los parámetros de seguridad:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\NotifyDownloadComplete="7562617"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    \CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet="1"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    \CurrentVersion\Internet Settings\ZoneMap\ProxyBypass="1"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    \CurrentVersion\Internet Settings\ZoneMap\IntranetName="1"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    \Currentversion\Explorer\Advanced\WebView="0"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    \Currentversion\Explorer\Advanced\ShowSuperHidden="0"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows
    \CurrentVersion\Explorer\CabinetState\FullPath="0"

 

Modifica las claves de registro bajo la siguiente clave, a fin de desactivar software de seguridad:

  • SOFTWARE\Classes\Licenses

 

Borra los ficheros .EXE o .PPL que encuentre dentro de las carpetas listadas en las siguientes entradas de registro:

  • HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk
    \VirusProtect6\CurrentVersion
  • HKEY_LOCAL_MACHINE\Software\Symantec\InstalledApps
  • HKEY_LOCAL_MACHINE\Software\KasperskyLab\Components
    \101
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
  • HKEY_LOCAL_MACHINE\Software\KasperskyLab
    \InstalledProducts\Kaspersky Anti-Virus Personal
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \CurrentVersion\App Paths\Iface.exe

 

El gusano intenta borrar los siguientes ficheros:

  • %ProgramFiles% \DAP\*.dll
  • %ProgramFiles% \BearShare\*.dll
  • %ProgramFiles% \Symantec\LiveUpdate\*.*
  • %ProgramFiles% \Symantec\Common Files\Symantec Shared\*.*
  • %ProgramFiles% \Norton AntiVirus\*.exe
  • %ProgramFiles% \Alwil Software\Avast4\*.exe
  • %ProgramFiles% \McAfee.com\VSO\*.exe
  • %ProgramFiles% \McAfee.com\Agent\*.*
  • %ProgramFiles% \McAfee.com\shared\*.*
  • %ProgramFiles% \Trend Micro\PC-cillin 2002\*.exe
  • %ProgramFiles% \Trend Micro\PC-cillin 2003\*.exe
  • %ProgramFiles% \Trend Micro\Internet Security\*.exe
  • %ProgramFiles% \NavNT\*.exe
  • %ProgramFiles% \Morpheus\*.dll
  • %ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
  • %ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
  • %ProgramFiles% \Grisoft\AVG7\*.dll
  • %ProgramFiles% \TREND MICRO\OfficeScan\*.dll
  • %ProgramFiles% \Trend Micro\OfficeScan Client\*.exe
  • %ProgramFiles% \LimeWire\LimeWire 4.2.6\LimeWire.jar

 

También intenta borrar ficheros de las siguientes ubicaciones en comparticiones de red:

  • \C$\Program Files\Norton AntiVirus
  • \C$\Program Files\Common Files\symantec shared
  • \C$\Program Files\Symantec\LiveUpdate
  • \C$\Program Files\McAfee.com\VSO
  • \C$\Program Files\McAfee.com\Agent
  • \C$\Program Files\McAfee.com\shared
  • \C$\Program Files\Trend Micro\PC-cillin 2002
  • \C$\Program Files\Trend Micro\PC-cillin 2003
  • \C$\Program Files\Trend Micro\Internet Security
  • \C$\Program Files\NavNT
  • \C$\Program Files\Panda Software\Panda Antivirus Platinum
  • \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
  • \C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
  • \C$\Program Files\Panda Software\Panda Antivirus 6.0
  • \C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

 

Monitoriza las siguientes cadenas en la navegación a Internet:

  • YAHOO! MAIL -
  • @YAHOOGROUPS
  • BLOCKSENDER
  • SCRIBE
  • YAHOOGROUPS
  • TREND
  • PANDA
  • SECUR
  • SPAM
  • ANTI
  • CILLIN
  • CA.COM
  • AVG
  • GROUPS.MSN
  • NOMAIL.YAHOO.COM
  • EEYE
  • MICROSOFT
  • HOTMAIL
  • MSN
  • MYWAY
  • GMAIL.COM
  • @HOTMAIL
  • @HOTPOP

 

El gusano cerrará aplicaciones cuyo título contenga una de las siguientes cadenas:

  • SYMANTEC
  • SCAN
  • KASPERSKY
  • VIRUS
  • MCAFEE
  • TREND MICRO
  • NORTON
  • REMOVAL
  • FIX

 

Los valores de la siguiente lista se borran de las claves del registro Run y Runservices, para evitar su reinicio:

  • PCCIOMON.exe
  • pccguide.exe
  • Pop3trap.exe
  • PccPfw
  • tmproxy
  • McAfeeVirusScanService
  • NAV Agent
  • PCCClient.exe
  • SSDPSRV
  • rtvscn95
  • defwatch
  • vptray
  • ScanInicio
  • APVXDWIN
  • KAVPersonal50
  • kaspersky
  • TM Outbreak Agent
  • AVG7_Run
  • AVG_CC
  • Avgserv9.exe
  • AVGW
  • AVG7_CC
  • AVG7_EMC
  • Vet Alert
  • VetTray
  • OfficeScanNT Monitor
  • avast!
  • DownloadAccelerator
  • BearShare

 


Payload de Activación por Fecha

El día 3 de cualquier mes, aproximadamente 30 minutos después de iniciar el sistema infectado, el gusano sobreescribe ficheros con las siguientes extensiones, con el texto "DATA Error [47 0F 94 93 F4 K5]", dejando los ficheros a 32 bytes de tamaño:

  • DOC
  • XLS
  • MDB
  • MDE
  • PPT
  • PPS
  • ZIP
  • RAR
  • PDF
  • PSD
  • DMP

 

Contador de Infección

Siempre que una máquina se infecta inicialmente el gusano conecta a un website para incrementar un contador:

  • webstats.web.rcn.net/cgi-bin/Count.cgi [censurado]

 


Icono de Bandeja

El gusano añade un icono en la bandeja de sistema, visualizando la cadena "Update Please wait" si se encuentra una de estas carpetas en %Program Files% :

  • Norton Antivirus
  • Kaspersky Lab
  • Panda Software

 

Método de Infección

Este gusano intenta propagar via email y copiarse a comparticiones locales.

El componente de mailing recopila direcciones del sistema local de fichero que tengan alguna de las siguientes extensiones:

  • .HTM
  • .DBX
  • .EML
  • .MSG
  • .OFT
  • .NWS
  • .VCF
  • .MBX
  • .IMH
  • .TXT
  • .MSF
  • CONTENT.

 

Detección y eliminación

El gusano se controla desde los DAT 4679, para su eliminación se recomienda ejecutar nuestra utilidad ELIMYWIF.

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Enero de 2006

Anterior