Nombre:Worm/Merond.O
Descubierto:22/02/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:251.904 Bytes
Suma de control MD5:30798de49cea5c4a60998f60447e8576
Versión del IVDF:7.10.04.122 - lunes 22 de febrero de 2010

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Panda: W32/Sinowal.WUH
   •  Eset: Win32/Merond.O
   •  Bitdefender: Worm.Generic.83963


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\jushed.exe
   • %SYSDIR%\sdra64.exe



Crea los siguientes ficheros:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\javaz.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

%SYSDIR%\lowsec\user.ds.lll



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\javaz.exe"

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched12"="%SYSDIR%\jushed.exe"



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\jushed.exe"="%SYSDIR%\jushed.exe:*:Enabled:Explorer"



Añade las siguientes claves al registro:

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "stinkinsun"="04"
   • "trashjava"="22"

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Nuevo valor:
   • "WMAFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Nuevo valor:
   • "avifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Nuevo valor:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Nuevo valor:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Nuevo valor:
   • "CompressedFolder"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Nuevo valor:
   • "wrifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Nuevo valor:
   • "emffile"=""

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuevo valor:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es uno de los siguientes:
   • invitations@hi5.com
   • invitations@twitter.com


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
Uno de los siguientes:
   • Jessica would like to be your friend on hi5!
   • Your friend invited you to twitter!



El cuerpo del mensaje:
– Contiene código HTML.


Archivo adjunto:
El nombre del fichero adjunto es:
   • Invitation Card.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: javaz.exe

    Nombre del proceso:
   • winlogon.exe



–  Inyecta el siguiente fichero en un proceso: winlogon.exe

    Nombre del proceso:
   • svchost.exe



–  Inyecta el siguiente fichero en un proceso: svchost.exe

It is injected into all processes. (es)


 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://whatismyip.com/automation/n09230945.asp

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves 22 de abril de 2010
Descripción actualizada por Petre Galan el jueves 22 de abril de 2010

Volver . . . .