Nombre:Worm/Womble.A
Descubierto:29/08/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:No
Tamaño:79.360 Bytes
Versión del VDF:6.35.01.156
Versión del IVDF:6.35.01.159 - miércoles 30 de agosto de 2006
Eurístico:HEUR/Crypted.Patched

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Kaspersky: Email-Worm.Win32.Womble.a
   •  TrendMicro: WORM_WOMBLE.A
   •  Sophos: W32/Womble-B
   •  VirusBuster: iworm I-Worm.Womble.A
   •  Bitdefender: Win32.Womble.A@mm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador




   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends
   
   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%ficheros ejecutados%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%text1%.exe
   • \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%text1%.pif



Crea los siguientes ficheros:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Los análisis adicionales indicaron que este fichero es también viral. Detectado como: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Los análisis adicionales indicaron que este fichero es también viral. Detectado como: EXP/MS06-001.WMF

– \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%text1%.wmf Los análisis adicionales indicaron que este fichero es también viral. Detectado como: EXP/MS06-001.WMF

– \\%ordenadores en el dominio corriente%\%Directorio de redes utilizado comunmente%\%text1%.jpg Los análisis adicionales indicaron que este fichero es también viral. Detectado como: EXP/MS06-001.WMF

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %espacios libres% %SYSDIR%\%ficheros ejecutados%"
   • "Userinit"="%SYSDIR%\userinit.exe %espacios libres% ,%SYSDIR%\%ficheros ejecutados%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ficheros ejecutados%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ficheros ejecutados%"



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • ---------------------------------------------------
     
     There is some info in the attached file !!!
     
     ---------------------------------------------------
     

   • -----------------------------
     
     Zip P A S S : %serie de caracteres aleatorios de nueve dígitos%
     
     -----------------------------
     


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • %text%

Y luego una de las siguientes:
   • exe
   • pif

    Seguida por:
   • zip

–  Empieza por uno de los siguientes:
   • %text1%

Y luego una de las siguientes:
   • exe
   • jpg
   • pif
   • wmf

    Seguida por:
   • passw
   • psw

    Seguido por una de las siguientes extensiones falsas:
   • zip

El adjunto es un archivo que contiene una copia del programa viral.

El archivo adjunto es una copia del fichero creado: %text1%.jpg; %text1%.wmf



El mensaje de correo puede tener una de las siguientes formas:



 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral


Capabilidades de control remoto:
    • Descargar fichero

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE


Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.sun.com/index.html


Objeto mutex:
Crea el siguiente objeto mutex:
   • wmf.mtx.3

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Ivanes el martes 29 de agosto de 2006
Descripción actualizada por Andrei Ivanes el jueves 31 de agosto de 2006

Volver . . . .