Worm/IBill.A - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/IBill.A
Descubierto:	16/08/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Medio
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	49.152 Bytes
Suma de control MD5:	0E8990ec57d34a59211b4520d6afa10B
Versión del VDF:	6.35.01.100
Versión del IVDF:	6.35.01.101

General Método de propagación:
   • Correo electrónico

Alias:

Identificado anteriormente como:
   • TR/Dldr.IBill.A

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mfcapi32u.exe

Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\nam%número hexadecimal%.tmp

– %TEMPDIR%\hack.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • this is the joke

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://traffall.biz/adv/053/**********
El fichero está guardado en el disco duro en: C:\autoexeck.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Tibs.hh

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • mfcapi32u = %SYSDIR%\mfcapi32u.exe

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %directorio donde se ejecuta el programa viral%\%ficheros ejecutados% = %malware execution
      directory%\%ficheros ejecutados%:*:Enabled:%ficheros ejecutados%

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.
El remitente del mensaje de correo es uno de los siguientes:
   • Michel Madsen
   • Nick Convers
   • Jane Hoocks
   • Fred Dowland
   • Emely Hard
   • John Heckman
   • Piter Roslen
   • Oliver Simpson
   • Patrik Roberts
   • Lorence Newman

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

El diseño de los mensajes de correo:

Asunto: Thank you for your purchase in Bolero!
Cuerpo del mensaje:
   • Hello!
     Thank you for your purchase in our Internet-shop. We always appreciate to meet you there and would like to inform you that money was successfully transferred from your credit card to our account. Further information you can find enclosed.
     Sincerely yours, Bolero Inetshop Administration

Asunto: Thank you for your registration!
Cuerpo del mensaje:
   • Hello!
     Thank you for your rewrite in our mail server. The confirmation of you new login and password you can find enclosed.
     Sincerely yours, Mail Administration Service / Mail Support Service

Asunto: Pay for your credits!
Cuerpo del mensaje:
   • Hello!
     We have to remain you that your credit payment period will be expiring next week. If you will not make your payment till that time we will have to withdraw your savings from your bank account.
     All details you can find enclosed.
     USA Credit Group.

Asunto: It's important!!! You still have not paid a fine!
Cuerpo del mensaje:
   • Hello!
     We remain you that you still have not paid a parking violation fine. You should to pay it till the next week or we will have to reach trial the deal.
     We are sending you herewith all necessary documents.
     Sincerely yours, Regional Police Department Management / Administration

Asunto: Tank you for your charity
Cuerpo del mensaje:
   • The St. Patrick Home thanks you for your donation. We are very obliged for your assistance with our St. Patrick's Found and acknowledge the receipt of your transfer for its account. Further to our letter we are sending you full estimate of that transfer.
     Sincerely yours, St. Patrick Home's Administration

Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • message.zip
   • data.zip
   • logfile.zip

El adjunto es un archivo que contiene una copia del programa viral.

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • asa; asc; asm; asp; cfg; cgi; con; csp; dbx; dlt; dwt; edm; eml; hta;
      htc; htm; inc; jsp; jst; lbi; log; ods; oft; php; mbx; mdx; mht; mmf;
      msg; nch; rdf; rss; sht; ssi; stm; tbb; tbi; tpl; txt; uin; vbp; vbs;
      wab; wml; wsh; xht; xls; xml; xsd; xst

Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • chubakka; obivan; presli; songking; yantchi; smitt; westford;
      goldgong; manager; bengamin; cristofer; albert; antony; martin;
      enigma; aleph; elvis; john; robin; ghost

Puede combinar la primera línea con una de las siguientes:
   • night; bsd; sys; big; bob; white; dark; black; oliver; yanli; brain;
      chan; katamoro; tsungli; killer; bug; sun; tr0n; lion; band1t; andi;
      alert; 2003; 2001; 2004; 2002; 2000; 2006; m4n; man

El dominio es uno de los siguientes:
   • mail.com
   • hotmail.com
   • msn.com
   • gmail.com

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • certific; listserv; ntivi; support; admin; postmaster; root; samples;
      spam; noone; nobody; info; help; gold-certs; feste; contact; bugs;
      anyone; rating; secur; linux; unix; pgp; panda; google; sopho;
      icrosoft; avp; iana; foo; msn; gmail; hotmail

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade el siguiente prefijo al nombre del dominio:
   • mail.

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• PeyotCodedByHALT

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Wed, 16 Aug 2006 11:16 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 17 Aug 2006 12:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver