Worm/Wootbot.117152 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Wootbot.117152
Descubierto:	01/03/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	117.152 Bytes
Suma de control MD5:	0e0261b06ec8d8aa1cb5ba6b986eb6fa
Versión del VDF:	6.33.01.05

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Symantec: W32.Mytob@mm
   • Kaspersky: Backdoor.Win32.Wootbot.gen
   • TrendMicro: WORM_MYTOB.OP
   • Bitdefender: Win32.Worm.Mytob.X.Gen

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\WinApp32.exe

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Application 32"="WinApp32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Windows Application 32"="WinApp32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Application 32"="WinApp32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "Windows Application 32"="WinApp32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Application 32"="WinApp32.exe"

Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
   • "0"="Root\\LEGACY_SHIT\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
   • "Service"="shit"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Windows Application 32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="shit"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones generadas

Asunto:
Uno de los siguientes:
   • Your Account is Suspended
   • *WARNING* Your email account is suspended
   • *DETECTED* Online User Violation
   • Your Account is Suspended For Security Reasons
   • Warning Message: Your services near to be closed.
   • Important Notification
   • Members Support
   • We have suspended your account
   • You are banned!!!
   • Security measures
   • Email Account Suspension
   • Notice of account limitation

Además, el campo del asunto podría incluir caracteres aleatorios.

El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Some information about your %el dominio del destinatario desde la dirección de correo% account is attached.

     The %el dominio del destinatario desde la dirección de correo% Support Team

   • Dear %domain% Member,

     We have temporarily suspended your email account %domain%.

     This might be due to either of the following reasons:

     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the attached details to reactivate your %el dominio del destinatario desde la dirección de correo% account.

     Sincerely,The %el dominio del destinatario desde la dirección de correo% Support Team

   • Dear %el dominio del destinatario desde la dirección de correo% Member,

     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

     Virtually yours,
     The %el dominio del destinatario desde la dirección de correo% Support Team

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

– Empieza por uno de los siguientes:
   • account-details
   • account-info
   • account-report
   • document
   • email-details
   • important-details
   • information
   • readme
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • zip

El adjunto es un archivo que contiene una copia del programa viral.

El mensaje de correo se ve así:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • txt; htm; sht; jsp; cgi; xml; php; asp; dbx; tbb; adb; html; wab

Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • support
   • administrator
   • accounts
   • mail
   • service
   • admin
   • info
   • register
   • webmaster

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.

Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • adam; alex; andrew; anna; bill; bob; bob; brenda; brent; brian;
      claudia; dan; dave; david; debby; frank; fred; george; helen; jack;
      james; jane; jerry; jim; jimmy; joe; john; jose; josh; julie; kevin;
      leo; linda; maria; mary; matt; michael; michael; mike; paul; peter;
      ray; robert; sales; sam; sandra; serg; smith; stan; steve; ted; tom

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -._!; -._!@; .edu; .gov; .mil; abuse; accoun; acketst; admin; anyone;
      arin.; avp; be_loyal:; berkeley; borlan; bsd; bugs; certific; contact;
      example; fcnz; feste; fido; foo.; fsf.; gnu; gold-certs; google; gov.;
      help; hotmail; iana; ibm.com; icrosof; icrosoft; ietf; info; inpris;
      isc.o; isi.e; kernel; linux; listserv; math; mit.e; mozilla; msn.;
      mydomai; nobody; nodomai; noone; not; nothing; ntivi; page; panda;
      pgp; postmaster; privacy; rating; rfc-ed; ripe.; root; ruslis;
      samples; secur; sendmail; service; site; soft; somebody; someone;
      sopho; spm; submit; support; syma; tanford.e; the.bat; unix; usenet;
      utgers.ed; webmaster; www; you; your

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • mx.
   • mail.
   • smtp.
   • mx1.
   • mxs.
   • mail1.
   • relay.
   • ns.
   • gate.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
• IPC$

Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 64.125.**********
Puerto: 6667
Canal: #exp

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows

– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Descargar fichero
    • Abrir remote shell
    • Realizar un análisis de la red
    • Redirigir puertos
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Iniciar la rutina de propagación

Backdoor (Puerta trasera) – WinApp32.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

Robo de informaciones Intenta robar las siguientes informaciones:

– Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • :.login; :!login; :!Login; :.Login; :.ident; :!ident; :.ipscan;
      :.advscan; :!advscan; :.secure; OPER; NICK; oper; USER; PASS; paypal;
      PAYPAL; passwd=; password=; login=; pass=; VISA=; mastercard=; visa=;
      amex=; ccnumber=; cctype=; card=; cvv2=; ccv2=; card=; CVV2=;
      address=; exp=; email=; account=; PAYPAL.COM; paypal.com

Informaciones diversas Recursos compartidos en la red:
Los siguientes recursos compartidos en la red serán eliminados:
   • c$
   • d$
   • ipc$
   • admin$

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Wed, 01 Mar 2006 17:40 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Thu, 02 Mar 2006 13:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back