Nuestros Productos Nuestros Servicios Nuestro ADN Noticias y Eventos Únete a nuestro equipo Lots of Cool Stuff
   
 
       
         
Inicio > Noticias
Regístrate en Tsares Technologies
Email:


Tsares Technologies 27/01/2004
Information Security Division
Noticias de Seguridad y Tecnología www.tsares.net
___________________________________________________________________


Un Nuevo gusano llamado W32/Mydoom.A.worm W32.Novarg.A@mm ha alcanzado ya alerta roja en las sitios web de las mayores compañías fabricantes de software antivirus y laboratorios de investigación. Ya han sido reportadas miles de incidencias en diversos países, el gusano ha infectado cuatro veces más computadoras que Downloader.L el segundo virus más detectado.

De acuerdo a algunas investigaciones que tenemos indican que varios corporativos están reportando que sus antivirus han bloqueado hasta 3,000 e-mails infectados por MyDoom.A o Novarg.A intentando entrar a sus redes.

Estos datos aparentarían confirmar las predicciones que tenemos de que MyDoom.A/Novarg.A podría causar la epidemia más seria de todos los tiempos.

Método empleado por el Gusano

El gusano W32/Mydoom.A o W32.Novarg.A@mm no infecta automáticamente a los sistemas sino que emplea técnicas de ingeniería social que persuaden al usuario a ejecutar el archivo ejecutable que se incluye en el mensaje empleando como "anzuelo" la simulación de un mensaje que aparenta haber tenido algún problema con el servidor como caracteres no válidos y ha requerido enviarlo como archivo binario adjunto. Algunos de estos mensajes "anzuelo" son:

- "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment".

- "The message contains Unicode characters and has been sent as a binary attachment."

- "Mail transaction failed. Partial message is available."

Aunque también se hemos recibido muestras con otros textos o con el cuerpo del mensaje vacío.

Los textos más comunes que aparecen en el asunto del mensaje son:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

El archivo anexo que contiene el ejecutable del gusano, llevará una de las siguientes extensiones .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en Windows simula ser un archivo de texto y también se han detectado casos en los que aparece como acceso directo de MsDos, entre los nombres más comunes reportados se encuentran:

readme
file
text
doc
hello
body
message
test
document
data

Cuando se ejecuta en un sistema crea los siguientes archivos:

- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system) de Windows

El archivo "Message" lo crea con caracteres al azar, y muestra su contenido ilegible con el bloc de notas. Con este efecto el gusano intenta engañar al usuario, para que crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto sin sentido debido a algún error del correo electrónico, cuando en realidad ha activado el gusano y da comienzo su rutina de infección y propagación.

Infección del sistema

Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe

El archivo "taskmon.exe", puede sobreescribir a un ejecutable
legítimo de Windows que tiene el mismo nombre, por lo que los usuarios
no se deben alertar por encontrar únicamente este nombre de archivo en
sus sistemas. Para corroborar la infección deben comprobar el resto de
síntomas aquí descritos o utilizar un antivirus propiamente actualizados con las definiciones mínimas del 27 de enero de 2004.

Adicionalmente crea las siguientes entradas en el registro de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
ComDlg32\Version

Puerta trasera

El archivo "shimgapi.dll" es inyectado en el ejecutable legítimo de Windows
"explorer.exe" a través de la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer3 2
"(Default)" = %SysDir%\shimgapi.dll

Esta DLL actúa como proxy, abriendo un puerto TCP en el sistema en el
rango 3127-3198, que permite el acceso a usuarios malintencionados o hackers. Además cuenta con funcionalidades para descargar y ejecutar programas de forma arbitraria, lo que posibilita todo tipo de acciones.


Propagación por correo electrónico

Una vez infecta un sistema, el gusano recoge direcciones de correo a
las que enviarse buscando en los archivos con extensión .htm, .sht,
.php, .asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del
mensaje en el que se auto envía es el que describimos en lineas anteriores,
haciéndose pasar por un problema en el envío o visualización del
correo electrónico.

Propagación a través del cliente KaZaa (red P2P)

En los sistemas que infecta localiza la carpeta de archivos
compartidos del cliente P2P KaZaa y se copia con la extensión .pif,
.scr, .bat o .exe y alguno de los siguientes nombres:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp

Para que otro usuario se infecte a través de esta vía, es necesario
que realice en la red P2P una búsqueda por alguno de los nombres
utilizados por el gusano, que proceda a su descarga, y ejecute el
archivo.

En realidad esta vía de contagio es apenas insignificante en
comparación con la propagación alcanzada por correo electrónico.


Ataque por denegación de servicio distribuido

El gusano contiene un payload o efecto que se activa a partir del 1 de
febrero, dejará de propagarse a través del correo electrónico para
iniciar un ataque por denegación de servicio contra el dominio
www.sco.com. Este ataque también tiene fecha de caducidad, ya que el
gusano dejará de realizar peticiones GET al puerto 80 de sco.com a
partir del 12 de febrero, fecha a partir de la cual sólo quedará activa
la puerta trasera en el sistema infectado a través del puerto TCP
abierto.

Al parecer el creador del gusano tiene interés en perjudicar al
grupo SCO, empresa que está en los últimos tiempos en el punto de
mira de la comunidad Linux, ya que demandó a IBM argumentando que el
código fuente de Linux contiene fragmentos copiados del Unix de SCO,
supuesto plagio que hasta el momento ha sido incapaz de demostrar.


Prevención

Como siempre la regla de oro a seguir es no abrir correos electrónicos de dudosa procedencia y mucho menos ejecutar archivos aún si vienen de una fuente conocida, contar con una solución antivirus actualizada. También resulta útil seguir los foros de seguridad y las listas como tsares security list para estar al tanto de las últimas amenazas que nos pueden afectar.

Para más información:

WORM_MIMAIL.R
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=57511&VName=WORM_MIMAIL.R&VSect=T

W32.Novarg.A@mm
http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.html

W32/Mydoom@MM
http://vil.nai.com/vil/content/v_100983.htm


Tsares Technologies
Information Security Division
Breaking The Circle
www.tsares.net
 
Servicios ADN Noticias Únete Cool Stuff  
Todos los derechos reservados Tsares S.A. de C.V. Ubicación de Oficinas