Nombre:Worm/Komodo
Descubierto:06/03/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:48.829 Bytes
Suma de control MD5:1806d75a231dac7385307d888588de45
Versión del VDF:6.33.01.70

 General Método de propagación:
   • Correo electrónico
   • Red local


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad


Inmediatamente después de su ejecución, muestra la siguiente información:



 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\n6873\smss.exe
   • %SYSDIR%\n6873\csrss.exe
   • %SYSDIR%\n6873\lsass.exe
   • %SYSDIR%\n6873\services.exe
   • %SYSDIR%\n6873\winlogon.exe
   • %WINDIR%\komodo-6262022.exe
   • %SYSDIR%\c_26202k.com
   • %SYSDIR%\n6873\sv711540830r.exe
   • %WINDIR%\cinderawasih-4262027.exe
   • %WINDIR%\_default26202.pif
   • %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com



Crea los siguientes ficheros:

– Ficheros que contienen direcciones de correo recolectadas:
   • %SYSDIR%\n6873\Spread.Mail.Bro\%dirección de correo del destinatario%.ini
   • %SYSDIR%\n6873\Spread.Sent.Bro\%dirección de correo del destinatario%.ini

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\n6873\brmac.bat
   • %SYSDIR%\n6873\brdom.bat
   • %SYSDIR%\n6873\getmac.txt
   • %SYSDIR%\n6873\getdomlist.txt
   • %SYSDIR%\n6873\domlist.txt

– C:\Baca Bro !!!.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • BRONTOK.C[19]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     [ By JowoBot ]

%SYSDIR%\n6873\c.bron.tok.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.C
     By:JowoBot




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocities.com/bvcbrosbl/**********
El fichero está guardado en el disco duro en: %SYSDIR%\n6873\sv711540830r.exeupinf.ini Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus-2487namc = %SYSDIR%\n6873\sv711540830r.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-2487namc = %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\komodo-6262022.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\_default26202.pif

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • AlternateShell = c_26202k.com



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-2487
   • Tok-Cirrhatus



Modifica las siguientes claves del registro:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • Userinit = %SYSDIR%\userinit.exe
   • Shell = Explorer.exe
   Nuevo valor:
   • Userinit = %SYSDIR%\userinit.exe,%WINDIR%\komodo-6262022.exe
   • Shell = Explorer.exe "%WINDIR%\cinderawasih-4262027.exe"

Varias opciones de configuración en Explorer:
– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Valor anterior:
   • ShowSuperHidden = %configuración definida por el usuario%
   • HideFileExt = %configuración definida por el usuario%
   • Hidden = %configuración definida por el usuario%
   Nuevo valor:
   • ShowSuperHidden = dword:00000000
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


El diseño de los mensajes de correo:



Asunto: My Photo on Paris
Cuerpo del mensaje:
   • This photo was taken from my vacation on Paris, last week.
     Wishing you always remember me.
     Regards,
Adjunto:
   • Picture.zip



Asunto: Foto Liburanku di Bali
Cuerpo del mensaje:
   • Halo Sobat,
     Ini fotoku saat liburan di Bali.
     Semoga kamu jadi ingat aku terus.
     Terima kasih,
Adjunto:
   • Picture.zip


Archivo adjunto:

El archivo adjunto es una copia del malware descrito aquí: TR/Dldr.Orangbi



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP;
      .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • yahoo; abuse; borland; acer; compaq; torvald; trovald; detik; anony;
      coding; guru; code; script; @mm; w32; NONE; CASTLE; WINRAR; WINZIP;
      HELP; IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; .VBS; .JS; .EXE;
      .HTM; .PHP; .ASP; BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST;
      NETWORK; SOURCE; PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT;
      PANDA; NORMAN; NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT;
      AVG; LINUX; CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE;
      UPDATE; DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID;
      .AC.ID; .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO;
      TELKOM; PLASA; LBS; PLD; HJT; MNE; AML; TPE; AGT; AUD; UTS; LON


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • ns1.
   • mail.
   • smtp.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente nombre de usuario:
   • %nombre del usuario actual%



Proceso de infección:
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %HOME%\Local Settings\Application Data\jalak-931540815-bali.com


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 Finalización de los procesos Listado de los procesos finalizados:
   • rundll32.exe; diary.exe; avgupsvc.exe; Alicia Keys.exe; Mariana
      Renata.exe; Dian sastro.exe; foto administrator.exe; zlh.exe;
      AntiVirus StartUp.exe; sitinurhaliza.exe; virus.exe; services.com;
      ctfmon.exe; ccapp.exe; nopdb.exe; opscan.exe; vptray.exe; winword.exe;
      update.exe; lexplorer.exe; iexplorer.exe; dkernel.exe; nipsvc.exe;
      njeeves.exe; cclaw.exe; nvcoas.exe; aswupdsv.exe; ashmaisv.exe;
      systray.exe; riyani_jangkaru.exe; xpshare.exe; tskmgr.exe;
      poproxy.exe; mcvsescn.exe; untukmu.exe; sstray.exe; syslove.exe;
      mspatch.exe; kangen.exe; ccapps.exe; avgemc.exe

Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • washer; anti; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; movzx;
      ertanto; hijack; killbox; .exe; scheduled task; computer management;
      group policy; system configuration; command prompt; registry


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el lunes 6 de marzo de 2006
Descripción actualizada por Andrei Gherman el lunes 6 de marzo de 2006

Volver . . . .