Nombre:Worm/Agent.aii
Descubierto:25/10/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:733.184 Bytes
Suma de control MD5:bbe4701b9fbb05416993791b02b98653
Versión del VDF:6.36.00.149
Versión del IVDF:6.36.00.166 - miércoles 25 de octubre de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: Generic BackDoor.u
   •  Kaspersky: Backdoor.Win32.Agent.aii
   •  Sophos: W32/Mytob-JI
   •  Eset: Win32/Mytob.VE


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\winemail.exe

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Email"="winemail.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Email"="winemail.exe"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%valores hex%
   • "{K7C0DB872A3F777C0}"=%valores hex%
   • "{I7B4ED451FFFFFFFF}"=%valores hex%
   • "{07B4ED451FFFFFFFF}"=%valores hex%

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}]
   • @="Media Clip"
   • "AppID"="{00022601-0000-0000-C000-000000000046}"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\AuxUserType\2]
   • @="Media Clip"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   DefaultSet]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\0]
   • @="Embed Source,1,8,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\1]
   • @="3,1,32,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DataFormats\
   GetSet\2]
   • @="8,1,1,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\DefaultIcon]
   • @="mplay32.exe,1"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\InprocHandler32]
   • @="ole32.dll"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\Insertable]
   • @=""

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\LocalServer32]
   • @="mplay32.exe"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\MiscStatus]
   • @="0"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\ProgID]
   • @="MPlayer"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\0]
   • @="&Play,0,3"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\1]
   • @="&Edit,0,2"

– [HKCR\CLSID\{7B4ED451-7B4E-D451-7B4E-D4517B4ED451}\verb\2]
   • @="&Open,0,2"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • Account Alert
   • %palabras aleatorias%



El cuerpo del mensaje:
– Contiene código HTML.
– El cuerpo del mensaje contiene un enlace a otro virus.
–  En algunos casos puede estar vacío.
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje es uno de los siguientes:

   • Dear Valued Member,
     According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons.
     http://www.%nombre del dominio y dominio de nivel superior (TLD) desde la dirección del remitente%/confirm.php?account=%dirección de correo del destinatario%
     After following the instructions in the sheet, your account will not be interrupted and will continue as normal.
     Thanks for your attention to this request. We apologize for any inconvenience.
     Sincerely, %el dominio del remitente desde la dirección de correo% Department



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea el siguiente texto:
   • abuse

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.


Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea el siguiente texto:
   • %serie de caracteres aleatorios%

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • mcafee; symantec; sophos; bitdefender; avg; kaspersky; avast; nod32;
      vba32; antivir; avira; cat-quickheal; clamav; drweb; f-prot; etrust;
      fortinet; ikarus; norman; panda; thehacker; ewido; spm; fcnz; www;
      secur; abuse


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: mail.yfcdavao.**********
Puerto: 3132
Canal: #email
Apodo: email%serie de caracteres aleatorios de seis dígitos%
Contraseña: r00ted



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Enviar mensajes de correo
    • Se actualiza solo

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • gfbgslkvtgf

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el miércoles 25 de octubre de 2006
Descripción actualizada por Monica Ghitun el miércoles 22 de noviembre de 2006

Volver . . . .