Gusano Doomjuice aprovecha la puerta trasera de Mydoom

El nuevo gusano Doomjuice no se propaga a través del correo
electrónico, en su lugar aprovecha la puerta trasera abierta en los
sistemas infectados por Mydoom para instalarse. Sus principales
objetivos son atacar la web de Microsoft y distribuir el código
fuente del gusano Mydoom.A, en lo que parece una estrategia para
dificultar la localización del autor original o facilitar la
aparición de nuevas variantes.

Como describimos en su día, Mydoom (versiones A y B) incorporaba
un componente que hacía funciones de backdoor o puerta trasera,
abriendo el puerto TCP 3127. Doomjuice basa su sistema de
propagación e infección en esta puerta trasera, ya que realiza
barridos de direcciones IPs buscando este puerto abierto. Cuando
localiza uno, establece una conexión y envía una copia del
ejecutable de Doomjuice, que el backdoor de Mydoom se encarga de
recibir y ejecutar en el sistema.

De entrada, al propagarse exclusivamente mediante este puerto,
Doomjuice sólo puede infectar de forma directa y automática a
los sistemas que se encuentren afectados por Mydoom, lo que limita
mucho su capacidad de propagación. Además, Doomjuice se puede
encontrar con problemas adicionales, ya que muchos de los equipos
infectados con Mydoom, y potencialmente víctimas de su ataque,
no podrán ser accesibles ya que se encontrarán protegidos con
barreras perimetrales. Por ejemplo, un usuario de ADSL puede estar
infectado por Mydoom pero su router impediría que Doomjuice pueda
acceder desde Internet al puerto abierto en su PC. Por todo lo
anterior, no se prevé una propagación explosiva de este gusano,
como ocurrió en el caso de Mydoom.

Como curiosidad, y ahondando en una de las soluciones que
propusimos en una entrega anterior, Doomjuice es una prueba más
de como sería posible desinfectar de forma automática los equipos
de forma remota aprovechando la puerta trasera. Si en vez de
descargar e instalar un nuevo gusano, en su lugar, instalara una
vacuna que desinfectara Mydoom. En realidad no se trata de un
concepto nuevo, en la «prehistoria» de los virus informáticos
se pueden encontrar casos similares, si bien como comentamos este
tipo de soluciones de desinfección global e indiscriminada chocan
con cuestiones éticas y legales.

Breve descripción

Doomjuice se instala como intrenat.exe en el directorio de sistema
de Windows, e incluye las siguientes entradas en el registro para
asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«Gremlin» = «%system%\intrenat.exe»

HKKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«Gremlin» = «%system%\intrenat.exe»

Como curiosidad copia en varias carpetas del sistema infectado (en
el raíz, Windows, System, temporal, etc.) el archivo comprimido
sync-src-1.00.tbz, que contiene el código fuente del Mydoom
original. Algunos interpretan esta acción como parte de una
estrategia para dificultar la localización del autor original,
que en principio era el único poseedor del código fuente del
gusano como creador del mismo. Por otro lado, esta difusión del
código fuente también abre la puerta a que otros programadores
realicen modificaciones del mismo y aparezcan nuevas variantes.

Por último, como en el caso de Mydoom, el gusano Doomjuice también
incorpora una rutina de ataque DoS, en este caso exclusivamente
contra el dominio http://www.microsoft.com. La diferencia es que en el
caso de Doomjuice no hay fecha de caducidad, y las peticiones a
la web de Microsoft serán perennes mientras que existan equipos
infectados. Si bien, hasta el momento, y también a diferencia de
http://www.sco.com,la web de Microsoft no se ha visto afectada.

Reacción de las soluciones antivirus

La reacción de las diferentes soluciones antivirus en proporcionar
la actualización a sus clientes fue la siguiente:

[Kaspersky] 09.02.2004 18:58:11 :: Worm.Win32.Doomjuice
[Panda] 09.02.2004 19:33:49 :: W32/Doomjuice.A.wor
[Sophos] 09.02.2004 20:53:38 :: W32/Doomjuice-A
[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A
[TrendMicro] 09.02.2004 22:47:11 :: WORM_DOOMJUICE.A
[McAfee] no
[Norton] no
[InoculateIT] no

Estos resultados son extraídos del sistema de monitorización 24hx7d
de Hispasec. Los antivirus interesados en integrarse en este sistema
y aparecer en el listado deben ponerse en contacto con el
laboratorio de Hispasec.

Como datos significativos llama la atención la no detección de
McAfee, Norton e InoculateIT, si bien estas casas antivirus han
proporcionado descripciones y facilitan archivos de firmas
específicos para detectar a Doomjuice.

La razón de que no aparezcan se debe a que estas soluciones no han
proporcionado aun la actualización oficial que sus productos
descargan de forma automática. Por ejemplo, en el caso de McAfee
será el DAT 4323, que anuncia publicará el 11/02/2004. A efectos
prácticos significa que los usuarios de estos productos aun no
se encuentran protegidos, ya que la inmensa mayoría utiliza la
función de actualización automática o a demanda que incorpora el
producto.

Hispasec considera que, aunque es posible la descarga manual del
archivo de firmas específico (que también tendría que ser instalado
manualmente en la mayoría de los casos), es más real indicar en los
resultados la fecha y hora en que las soluciones son capaces de
actualizarse de forma automática, puesto que en la mayoría de los
casos los usuarios no están atentos a descargar e instalar archivos
de forma manual (ni consideramos que sea su función).

En el caso de Symantec/Norton, según publica existe actualización
para Doomjuice desde última hora del día 9, tanto a través del
Intelliger Update como mediante su servicio automático Live Update.
Si bien en nuestro sistema de monitorización ha sido incapaz de
reconocer la muestra del gusano con dichas actualizaciones, y
pruebas realizadas con otras versiones/motores de sus antivirus,
en diferentes sistemas, tampoco han logrado detectarlo. En este
caso parece que existe algún error en la firma incorporada por
Symantec para detectar el virus.

Más información:

30/01/2004 – Gusano Mydoom, la epidemia continúa
http://www.hispasec.com/unaaldia/1923

27/01/2004 – Reacción de los antivirus y análisis del gusano Mydoom/Novarg
http://www.hispasec.com/unaaldia/1920

26/01/2004 – Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919

Win32.Worm.Doomjuice.A
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=188

Win32.Doomjuice.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38238

WIN32/DOOMJUICE.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=723

Worm.Win32.Doomjuice
http://www.viruslist.com/eng/alert.html?id=930701

W32/Doomjuice.worm.a
http://vil.nai.com/vil/content/v_101002.htm

Doomjuice.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=44510

W32/Doomjuice-A
http://www.sophos.com/virusinfo/analyses/w32doomjuicea.html

W32.HLLW.Doomjuice
http://www.sarc.com/avcenter/venc/data/w32.hllw.doomjuice.html

WORM_DOOMJUICE.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_DOOMJUICE.A

W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
http://www.vsantivirus.com/doomjuice-a.htm

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog