Nueva oleada de virus: SOBIG.F, Dumaru, Welchia.

Con aparición todos el mismo día.

Nueva oleada de virus: SOBIG.F, Dumaru, Welchia.Informe 1
———

Nombre: Win32.Sobig.F@mm
Alias: W32/Sobig.F@mm
Tipo: Mensajero Masivo Ejecutable
Tamaño: ~70 KB
Descubierto: 19.08.2002
Detectado: 12:00 (GMT+2)
Propagación: Alta
Daño: Bajo
ITW: Sí

Síntomas:
Las claves del registro:
HKLMSoftwareMicrosoftWindowsRunCurrentVersionTrayX con el valor:
%WINDIR%winppr32.exe
HKLMSoftwareMicrosoftWindowsRunCurrentVersionTrayX con el valor:
%WINDIR%winppr32.exe /sinc

Los siguientes ficheros en la carpeta %WINDIR%:
Winppr32.exe
Winstt32.dat
Winstf32.dll

Descripción técnica:

El gusano llega en mensajes de correo con el siguiente formato:
Asunto:
Elegido al azar de la siguiente lista:
“Re: That movie”
“Re: Wicked screensaver”
“Re: Your application”
“Re: Approved”
“Re: Re: My details”
“Re: Details”
“Your details”
“Thank you!”
“Re: Thank you!”
Cuerpo del mensaje:
Please see the attached file for details.
o
See the attached file for details
Adjunto:
Elegido al azar de la siguiente lista:
“movie0045.pif”
“wicked_scr.scr”
“application.pif”
“document_9446.pif”
“details.pif”
“your_details.pif”
“thank_you.pif”
“document_all.pif”
“your_document.pif “

Después de ejecutar el adjunto, el virus se copia a sí mismo en la siguiente ubicación:
%WINDIR%winppr32.exe
y añade las siguientes claves del registro:
HKLMSoftwareMicrosoftWindowsRunCurrentVersionTrayX con el valor:
%WINDIR%winppr32.exe
HKCUSoftwareMicrosoftWindowsRunCurrentVersionTrayX with value:
%WINDIR%winppr32.exe

El gusano busca direcciones de correo en los ficheros con las siguientes extensiones:
html, wab, mht, hlp, txt, eml, htm, dbx

Se propaga también por los recursos compartidos en la red.

Cesa la propagación después del 10.09.2003.

El virus se está analizando en este momento. Volveremos con más informaciones.

BitDefender pone a su disposición una herramienta gratuita de desinfección, en la dirección:

http://www.bitdefender.com/html/free_tools.php

Virus analizado por:
Sorin Victor Dudea
BitDefender Virus Researcher

_______________________________________________________________________________

Informe 2
———

Nombre: Win32.Dumaru.A@mm
Alias: W32.Dumaru@mm (Symantec)
Tipo: Mensajero masivo ejecutable
Tamaño: 9,234 bytes
Descubierto: 19 de agosot del 2003
Detectado: 19 de agosot del 2003, 12:00 (GMT+1)
Propagación: Media
Daño: Medio
ITW: Sí

Síntomas:

– Se crean los siguientes ficheros:

%WINDOWS%dllreg.exe
%SYSTEM%load32.exe
%SYSTEM%vxdmgr32.exe
%WINDOWS%windrv.exe

– Se generan las siguientes claves de registro de Windows:
KKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”load32″=”% SYSTEM%load32.exe”donde %WINDOWS% apunta a la carpeta Windows y %SYSTEM% a la carpeta System (Win9x/Me) o System32 (Win2K/XP).

Descripción técnica:

El virus llega como mensaje de correo teniendo como remitente falso la empresa Microsoft:

From: “Microsoft”
Subject: Use this patch immediately !
Body: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment: patch.exe

En cuanto se ejecuta el virus hace lo siguiente:

1. Se copia a si mismo bajo los siguientes nombres de ficheros:

%SYSTEM%load32.exe
%WINDOWS%dllreg.exe
%SYSTEM%vxdmgr32.exe

2. Crea y ejecuta un componente backdoor:

%WINDOWS%windrv.exe (8192 bytes)

que conecta con un servidor de IRC y se une a un canal protegido con contraseña, envía una aviso de login y luego espera que el autor lance un comando (una instrucción).

3. Genera la siguiente clave de registro de Windows:

KKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”load32″=”% SYSTEM%load32.exe”

4. En los sistemas Windows 9x/Me, hace lo siguiente:

– utiliza el RegisterServiceProcess para esconder su presencia
– modifica el fichero system.ini añadiendo la siguiente entrada en la sección de [Boot]:
shell=explorer.exe C:WINDOWSSYSTEMvxdmgr32.exe

– modifica el fichero win.ini añadiendo la siguiente entrada en la sección de [Windows]:
run=C:WINDOWSdllreg.exe

5. Colecciona todas las direcciones de correo desde los ficheros de tipo

*.htm
*.wab
*.html
*.dbx
*.tbb
*.abd

y las guarda en %WINDOWS%winload.log.

6. Busca los ficheros ejecutables *.exe parteneciendo a unos cuantos productos antivirus y de seguridad informática e intenta sobrescribirlas con copias del virus.

7. Utiliza su propio motor SMTP y envía emails a todas las direcciones de correo encontradas en el fichero antes mencionado winload.log (vease más arriba el formato del correo electrónico utilizado)

Eliminación:
– Eliminación automática: Configurar BitDefender para eliminar todos los ficheros detectados como infectados.
– Herramienta de desinfección:
Descargue la herramienta de desinfección:

http://www.bitdefender-es.com/html/tools_gratis.php

Analizado por:
Patrik Vicol
BitDefender Virus Researcher

____________________________________________________________________________

Informe 3
———

Nombre: Win32.Worm.Welchia.A
Alias: W32.Welchia.Worm, W32/Nachi.worm, WORM_MSBLAST.D
Tipo: Gusano Ejecutable
Tamaño: 10240 (empaquetado con UPX y con parche instalado)
Descubierto: 18.08.2003
Detectado: 18.08.2003
Propagación: Media
Daño: Bajo
In The Wild: Sí

Síntomas:
La presencia de cualquiera de las claves del registro o de los ficheros mencionados en la descripción técnica.

Descripción técnica:

La presencia de los ficheros dllhost.exe y svchost.exe in la carpeta %system32%wins (Ej. C:WindowsSystem32WinsDllHost.exe).

Para infectar nuevos ordenadores, el gusano se aprovecha de la vulnerabilidad Microsoft DCOM RPC descrita en el boletín de seguridad MS03-026.

Parece que este virus funciona corectamente sólo en los sistemas Windows XP, en otros sistemas (como el Windows 2000), lo único que hace es reiniciar el ordenador.

Después de ejecutarse, el virus busca el fichero del gusano de Internet Win32.Msblast.A (msblast.exe) y trata de eliminarlo del ordenador. Asimismo, intenta descargar el parche para la vulnerabilidad mencionada para instalarlo.

El virus está analizado en este momento y luego esta descripción será actualizada.

Instrucciones de desinfección

Herramienta de desinfección:
www.bitdefender-es.com

Virus analizado por:
Mircea Ciubotariu, Mihai Neagu, Bogdan Dragu
BitDefender Virus Researchers

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática