domingo, 27 de enero de 2002

Gusano "Myparty", producto de ingeniería social

El gusano llega en un e-mail con el asunto "new photos from my party!"
y el archivo adjunto "www.myparty.yahoo.com". El nombre del archivo,
simulando un enlace a una dirección web, es la causa de que muchos
usuarios se confundan y ejecuten el código vírico al hacer doble click
en la supuesta URL.
"MyParty" no incorpora ninguna característica técnica destacable, que
esté alcanzado una distribución considerable en sus primeras horas de
existencia se debe únicamente al uso de la ingeniería social a la hora
de presentarse ante sus víctimas. En esta ocasión el reclamo es
una supuesta dirección de Internet que nos llevará a una página web
con fotos.

Pese a que el texto que utiliza el gusano está en inglés, desde
primeras horas de esta mañana hemos recibido en Hispasec las primeras
muestras de infecciones de "MyParty" en España, lo que indica que su
propagación puede llegar a ser también significativa en los paises
de habla hispana.

El hecho de que los textos del e-mail sean fijos facilitará que
los usuarios puedan reconocer la llegada del gusano por su aspecto
más externo:

Asunto: new photos from my party!

Cuerpo:

Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Archivo adjunto: www.myparty.yahoo.com

"MyParty" es un ejecutable escrito en Visual C++ con un tamaño final
de 29.696 bytes tras haber sido comprimido con la utilidad UPX. Cuando
un usuario lo ejecuta el gusano se autocopia como
C:\Recycled\regctrl.exe en el caso de los sistemas Windows NT/2000/XP,
mientras que aparecerá como c:\regctrl.exe bajo Windows 9x/ME.

"MyParty" comprueba la fecha y la configuración del teclado del
sistema antes de lanzar su ataque, ya que sólo procederá a
distribuirse del 25 al 29 de enero de 2002 desde aquellos ordenadores
que no tengan configurado el soporte del lenguaje ruso.

A continuación, si se cumplen las condiciones programadas por el autor
del virus, lee la siguiente entrada del registro de Windows para
recoger los datos del servidor de envío de correo (SMTP) utilizado por
la víctima:

HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001

Una vez que tiene la información del servidor de correo, procede a
autoenviarse a través de él a todas las direcciones que recolecta de
la libreta de direcciones de Windows (.WAB) y la de Outlook Express
(.DBX).

En el caso de los sistemas Windows NT/2000/XP el gusano crea un
segundo archivo, con funciones de backdoor, bajo el nombre msstask.exe
en la carpeta de Inicio de Windows, de esta forma asegura su ejecución
cada vez que se inicie el sistema.

"MyParty" también envía desde todos los ordenadores infectados un
mensaje en blanco a la dirección napster@gala.net, que pertenece a
un servidor ruso, un indicador más que situaría su origen en Rusia.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Symantec: W32.Myparty@mm
http://www.sarc.com/avcenter/venc/data/w32.myparty@mm.html

Panda Software: W32/Myparty@MM
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Myparty@MM

McAfee: W32/Myparty@MM
http://vil.nai.com/vil/content/v_99332.htm

TrendMicro: WORM_MYPARTY.A
http://www.antivirus.com/homepage/link.asp?URL=/vinfo/&loc=5

Sophos: W32/MyParty-A
http://www.sophos.com/virusinfo/analyses/w32mypartya.html

AVP: I-Worm.Myparty
http://www.avp.ch/avpve/worms/email/myparty.stm

Norman: W32/MyParty.A
http://www.norman.no/virus_info/w32_myparty_a_mm.shtml

Computer Associates: Win32.MyParty
http://www3.ca.com/virus/virus.asp?ID=10930