Worm/Komodo - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Komodo
Descubierto:	06/03/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	48.829 Bytes
Suma de control MD5:	1806d75a231dac7385307d888588de45
Versión del VDF:	6.33.01.70

General Método de propagación:
   • Correo electrónico
   • Red local

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\n6873\smss.exe
   • %SYSDIR%\n6873\csrss.exe
   • %SYSDIR%\n6873\lsass.exe
   • %SYSDIR%\n6873\services.exe
   • %SYSDIR%\n6873\winlogon.exe
   • %WINDIR%\komodo-6262022.exe
   • %SYSDIR%\c_26202k.com
   • %SYSDIR%\n6873\sv711540830r.exe
   • %WINDIR%\cinderawasih-4262027.exe
   • %WINDIR%\_default26202.pif
   • %home%\Local Settings\Application Data\dv6154080x\yesbron.com

Crea los siguientes ficheros:

– Ficheros que contienen direcciones de correo recolectadas:
   • %SYSDIR%\n6873\Spread.Mail.Bro\%dirección de correo del destinatario%.ini
   • %SYSDIR%\n6873\Spread.Sent.Bro\%dirección de correo del destinatario%.ini

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\n6873\brmac.bat
   • %SYSDIR%\n6873\brdom.bat
   • %SYSDIR%\n6873\getmac.txt
   • %SYSDIR%\n6873\getdomlist.txt
   • %SYSDIR%\n6873\domlist.txt

– C:\Baca Bro !!!.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • BRONTOK.C[19]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     [ By JowoBot ]

– %SYSDIR%\n6873\c.bron.tok.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.C
     By:JowoBot

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocities.com/bvcbrosbl/**********
El fichero está guardado en el disco duro en: %SYSDIR%\n6873\sv711540830r.exeupinf.ini This file may contain further download locations (es)

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus-2487namc = %SYSDIR%\n6873\sv711540830r.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-2487namc = %home%\Local Settings\Application Data\dv6154080x\yesbron.com

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\komodo-6262022.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\_default26202.pif

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • AlternateShell = c_26202k.com

Elimina del registro de Windows los valores de las siguientes claves:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-2487
   • Tok-Cirrhatus

Modifica las siguientes claves del registro:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • Userinit = %SYSDIR%\userinit.exe
   • Shell = Explorer.exe
   Nuevo valor:
   • Userinit = %SYSDIR%\userinit.exe,%WINDIR%\komodo-6262022.exe
   • Shell = Explorer.exe "%WINDIR%\cinderawasih-4262027.exe"

Varias opciones de configuración en Explorer:
– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Valor anterior:
   • ShowSuperHidden = %configuración definida por el usuario%
   • HideFileExt = %configuración definida por el usuario%
   • Hidden = %configuración definida por el usuario%
   Nuevo valor:
   • ShowSuperHidden = dword:00000000
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

El diseño de los mensajes de correo:

Asunto: My Photo on Paris
Cuerpo del mensaje:
   • This photo was taken from my vacation on Paris, last week.
     Wishing you always remember me.
     Regards,
Adjunto:
   • Picture.zip

Asunto: Foto Liburanku di Bali
Cuerpo del mensaje:
   • Halo Sobat,
     Ini fotoku saat liburan di Bali.
     Semoga kamu jadi ingat aku terus.
     Terima kasih,
Adjunto:
   • Picture.zip

Archivo adjunto:

The attachment is a copy of the malware described (es) TR/Dldr.Orangbi

El mensaje de correo se ve así:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP;
      .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • yahoo; abuse; borland; acer; compaq; torvald; trovald; detik; anony;
      coding; guru; code; script; @mm; w32; NONE; CASTLE; WINRAR; WINZIP;
      HELP; IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; .VBS; .JS; .EXE;
      .HTM; .PHP; .ASP; BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST;
      NETWORK; SOURCE; PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT;
      PANDA; NORMAN; NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT;
      AVG; LINUX; CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE;
      UPDATE; DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID;
      .AC.ID; .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO;
      TELKOM; PLASA; LBS; PLD; HJT; MNE; AML; TPE; AGT; AUD; UTS; LON

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • ns1.
   • mail.
   • smtp.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente nombre de usuario:
• %nombre del usuario actual%

Proceso de infección:
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %home%\Local Settings\Application Data\jalak-931540815-bali.com

Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

Finalización de los procesos Listado de los procesos finalizados:
   • rundll32.exe; diary.exe; avgupsvc.exe; Alicia Keys.exe; Mariana
      Renata.exe; Dian sastro.exe; foto administrator.exe; zlh.exe;
      AntiVirus StartUp.exe; sitinurhaliza.exe; virus.exe; services.com;
      ctfmon.exe; ccapp.exe; nopdb.exe; opscan.exe; vptray.exe; winword.exe;
      update.exe; lexplorer.exe; iexplorer.exe; dkernel.exe; nipsvc.exe;
      njeeves.exe; cclaw.exe; nvcoas.exe; aswupdsv.exe; ashmaisv.exe;
      systray.exe; riyani_jangkaru.exe; xpshare.exe; tskmgr.exe;
      poproxy.exe; mcvsescn.exe; untukmu.exe; sstray.exe; syslove.exe;
      mspatch.exe; kangen.exe; ccapps.exe; avgemc.exe

Processes containing the following window title (es)
   • washer; anti; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; movzx;
      ertanto; hijack; killbox; .exe; scheduled task; computer management;
      group policy; system configuration; command prompt; registry

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 06 Mar 2006 17:23 (GMT+1)
Descripción actualizada por Andrei Gherman el Mon, 06 Mar 2006 19:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back