Detectada a última hora del lunes 26 un nuevo gusano que se distribuye de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza, a juzgar por el número de mensajes infectados que circulan desde sus primeras horas de vida. En el
momento que escribimos esta noticia algunas casas antivirus ya alertan sobre el gusano, bautizándolo como Novarg, Mydoom o Mimail.R, entre
otros nombres, si bien la inmensa mayoría aun no han distribuido la actualización correspondiente para proteger a sus usuarios.
El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye vía correo electrónico a través de archivos adjuntos con la extensión
.BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula ser un archivo de texto.
El formato del mensaje en el que viaja es variable, la dirección de remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:
– «Error»
– «Status»
– «Server Report»
– «Mail Transaction Failed»
– «Mail Delivery System»
– «hello»
– «hi»
Como cuerpo del e-mail se han podido confirmar los siguientes textos:
– «The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment».
– «The message contains Unicode characters and has been sent as a binary attachment.»
– «Mail transaction failed. Partial message is available.»
– «test»
Cuando se ejecuta en un sistema crea los siguientes archivos:
– «Message» en el directorio temporal de Windows
– «shimgapi.dll» y «taskmon.exe» en el directorio de sistema (system) de Windows
El archivo «Message» lo crea con caracteres al azar, y muestra su contenido con el bloc de notas. Con este efecto el gusano intenta
engañar al usuario, para que crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto sin sentido, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección y propagación.
Añade las siguientes entradas en el registro de Windows para asegurarse su ejecución en cada inicio del sistema:
– HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
También intenta reproducirse a través de redes P2P copiándose en la carpeta de archivos compartidos de Kazaa con las extensiones .PIF, .SCR .BAT y los siguientes nombres:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Por último se ha detectado que el gusano abre el puerto TCP 3127 en los sistemas infectados, lo que podría sugerir funcionalidades
de puerta trasera.
En el momento de redactar esta nota, sólo TrendMicro reconocía el gusano desde últimas horas del lunes 26 como «WORM_MIMAIL.R»,
NOD32 lo hacía durante las primeras horas de la madrugada del ya martes 27 como «Win32/Mydoom.A», seguido a los pocos minutos por
Antigen como «MyDoom.A@m».
Symantec tiene publicada la alerta en su web como categoría 4 (en una escala de 1 a 5), y Network Associates (McAfee) define la
alerta como «High-Outbreak», si bien ambas aun están analizando el gusano y no han proporcionado la actualización oficial a los
usuarios de sus antivirus. En el caso de McAfee sí dispone ya de una firma adicional (Extra DAT) para actualizar a demanda.
Igualmente no reconocen aun el nuevo gusano las soluciones InoculateIT, Kaspersky, Panda y Sophos.
Desde Hispasec seguiremos durante la madrugada analizando el gusano, monitorizando su actividad, y comprobando las respuestas de las
diferentes soluciones antivirus, de forma que en las próximas horas ofreceremos información más detallada al respecto.
bernardo@hispasec.com
Más información:
WORM_MIMAIL.R
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=57511&VName=WORM_MIMAIL.R&VSect=T
W32.Novarg.A@mm
http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.html
W32/Mydoom@MM
http://vil.nai.com/vil/content/v_100983.htm
Deja una respuesta