Worm.W32/Chod.B

Alias:
WORM_CHOD.B (Trend Micro), W32.Chod.B@mm (Symantec)

Descripción:
Gusano con distintas capacidades para instalarse y propagarse por sí mismo.

1.- Posee capacidades de puerta trasera:
2.- Activa una herramienta para la recuperación de claves
3.- Detiene procesos de seguridad (fireWall y antivirus)
4.- Puede lanzar ataques de denegación de servicios (DoS)
5.- Se propaga por correo y mediante la aplicación de mensajería instantanea MSN Messenger.

Los mensajes de correo tienen las siguietes características:

Los remitentes de los mensajes podrán ser:

• securityresponse@symantec.com

• security@microsoft.com

• security@trendmicro.com

El asunto, alguno de los siguientes:

• Your computer may have been infected

• Warning - you have been infected!

El fichero adjunto podrá ser:

• netsky_removal.exe

• removal_tool.exe

• message.pif

• message.scr

Detalles:
Instalación

El gusano puede recibirse en un correo electrónico o mediante la aplicación MSN Messenger. Tras la instalación, presentará el siguiente cuadro de mensje:

Imagen de TrendMicro

Dentro de la carpeta de Window, crea una carpeta propia con un nombre aleatorio en la que descargará los siguientes ficheros:

• CSRSS.DAT; Fichero no malicioso que es utilizado por el gusano para almacenar la información capturada en la máquina infectada. Tendrá atributos de Sistema y Oculto.
• CSRSS.EXE; Copia del gusano con atributos de Solo lectura, Sistema y Oculto.
• CSRSS.INI; FIchero no malicioso usado para almacenar información de configuración.

  También crea otro fichero no malicioso, CPU.DLL, en la carpeta del sistema de Windows.

Crea las siguientes entradas en las claves de registro indicadas, para autoiniciarse cada vez que sea arrancado Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
csrss = "%System%\\csrss.exe" 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
load = "%System%\\csrss.exe" 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
run = "%System%\\csrss.exe" 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
csrss = "%System%\\csrss.exe" 

También inserta el siguiente enlace en la carpeta de inicio para intentar iniciarse junto al arranque de Windows:

%Startup%\csrss.lnk 

Para completar su instalación, crea los siguientes registros:

HKEY_CLASSES_ROOT\Chode 
HKEY_CURRENT_USER\Software\Chode 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chode 

Installed = "1" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "dword:00000002" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = "dword:00000000" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "dword:00000000" 

También realiza los siguientes cambios en los registros indicados, para disminuir los privilegios de sistema que puede uutilizar el usuario:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoAdminPage = "1" 

También verifica la existencia de las siguientes claves de registro, para en caso de no existir proceder a crearlas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL 
EventLogging = "00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\Ciphers

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\Hashes

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\Protocols 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\Schannel 

Propagación vía Correo

Se propagará por correo sobre todas las direcciones que capture de ficheros existentes en la máquina infectada que posean las siguientes extensiones:

• .adb
• .asp
• .cgi
• .ctt
• .dbx
• .dhtm
• .doc
• .eml
• .htm
• .html
• .msg
• .oft
• .php
• .pl
• .rtf
• .sht
• .shtm
• .sql
• .tbb
• .txt
• .uin
• .vbs
• .wab
• .xml

Intentará evitar capturar las direcciones que contengan alguna de las siguientes cadenas de texto:

• antivirus
• avp
• bitdefender
• f-secure
• mcafee
• messagelabs
• microsoft
• spam
• symantec

Enviará un mensaje a las direcciones capturadas con un fichero adjunto que es una copia del gusano.

Las características del mensaje enviado serán las siguientes:

Remitente: Alguno de los siguientes:

• securityresponse@symantec.com
• security@microsoft.com
• security@trendmicro.com

Asunto: Alguno de los siguientes:

• Your computer may have been infected
• Warning - you have been infected!

Mensaje: Podrá ser alguno de los siguientes:

Your message was undeliverable due to the following reason(s): 

Your message could not be delivered because the destination server was unreachable 
within the allowed queue period. The amount of time a message is queued before it 
is returned depends on local configuration parameters. Most likely there is a network 
problem that prevented delivery, but it is also possible that the computer is turned off, 
or does not have a mail system running right now. 

Your original message has been attached. 

Adjunto: Alguno de los siguientes:

• netsky_removal.exe
• removal_tool.exe
• message.pif
• message.scr

Propagación vía Messenger

Es capaz de enviar copias de sí mismo a los contactos MSN Messenger, en ficheros con los siguientes nombres:

• check this out
• gross
• my sister's webcam
• mypic
• naked lesbian twister
• paris hilton
• picture
• rofl
• us together
• wtf

Que podrán tener extensiones:

• .pif
• .scr

Y que estarán asociados a alguno de los siguientes mensajes:

• check out what I just found on some stupid website
• dude check this out, it's awesome! :D
• haha you have to see this, I almost couldn't believe it! :O
• holy shit you have to see this... :|
• I just found this on a CD... you won't believe it! :|
• LOL! look at this, I can't explain it in words...
• omg check this out, it's just wrong :O
• ROFL!! you have to see this... wtf...
• you have to see this, it freaked me out :S
• you have to see this, it's amazing!

Modificación del fichero HOSTS

Para impedir el acceso a sitios de seguridad y prevenir la actualización del usuario, el gusano insertará las siguientes entradas en el fichero HOSTS:

• avp.com
• ca.com
• customer.symantec.com
• dispatch.mcafee.com
• download.mcafee.com
• f-secure.com
• fastclick.net
• ftp.f-secure.com
• ftp.sophos.com
• grisoft.com
• www.trendmicro-europe.com/housecall
• kaspersky.com
• liveupdate.symantec.com
• mast.mcafee.com
• mcafee.com
• merijn.org
• my-etrust.com
• nai.com
• networkassociates.com
• pandasoftware.com
• phpbb.com
• rads.mcafee.com
• secure.nai.com
• securityresponse.symantec.com
• service1.symantec.com
• sophos.com
• spywareinfo.com
• support.microsoft.com
• symantec.com
• trendmicro.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• vil.nai.com
• viruslist.com
• www.avp.com
• www.awaps.net
• www.ca.com
• www.f-secure.com
• www.fastclick.net
• www.grisoft.com
• www.kaspersky.com
• www.mcafee.com
• www.merijn.org
• www.microsoft.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.pandasoftware.com
• www.phpbb.com
• www.sophos.com
• www.spywareinfo.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com
• www.zonelabs.com
• www3.ca.com
• zonelabs.com

Detención de procesos de protección:

Puede detectar e impedir la ejecución o detener aquellos procesos relacionados con programas Antivirus y FireWall:

• bbeagle.exe
• ccapp.exe
• ccevtmgr.exe
• ccproxy.exe
• ccsetmgr.exe
• d3dupdate.exe
• enterprise.exe
• gcasdtserv.exe
• gcasserv.exe
• hijackthis.exe
• i11r54n4.exe
• irun4.exe
• isafe.exe
• issvc.exe
• kav.exe
• kavsvc.exe
• mcagent.exe
• mcdash.exe
• mcinfo.exe
• mcmnhdlr.exe
• mcshield.exe
• mcvsescn.exe
• mcvsftsn.exe
• mcvsrte.exe
• mcvsshld.exe
• mpfagent.exe
• mpfservice.exe
• mpftray.exe
• msblast.exe
• msconfig.exe
• mscvb32.exe
• mskagent.exe
• mwincfg32.exe
• navapsvc.exe
• navapw32.exe
• navw32.exe
• npfmntor.exe
• outpost.exe
• pandaavengine.exe
• pcclient.exe
• pcctlcom.exe
• penis32.exe
• regedit.exe
• smc.exe
• sndsrvc.exe
• spbbcsvc.exe
• symlcsvc.exe
• sysinfo.exe
• sysmonxp.exe
• teekids.exe
• tmntsrv.exe
• tmpfw.exe
• tmproxy.exe
• usrprmpt.exe
• vsmon.exe
• wincfg32.exe
• winsys.exe
• winupd.exe
• zapro.exe
• zlclient.exe
• gcasServ
• hijackthis*
• KAVPersonal50
• microsoft antispyware*
• Outpost Firewall
• pccguide.exe
• services
• Symantec NetDriver Monitor
• Zone Labs Client

Capacidades de puerta trasera

Se conectará a un canal predeterminado de un servidor IRC desde donde esperará el envío de comandos por parte del atacante remoto para:

• Apagar o reiniciar el sistema
• Capturar información de las configuraciones de correo electrónico.
• Iniciar el envío masivo de mensajes
• Capturar el nombre de la máquina o la dirección ip
• Inciciar el envio de mensajes vía MSN
• Descargar ficheros
• Finalizar la ejecución y/o desinstalar el guasno

El gusano transaporta y ejecuta alguna de las siguientes herramientas para recuperar las claves de acceso de las siguientes aplicaciones:

Herramientas:

• MessenPass
• Protected Storage PassView

Aplicaciones:

• AOL Instant Messenger (in old versions)
• AOL Instant Messenger/Netscape 7
• GAIM
• ICQ Lite 4.x/2003
• Miranda
• MSN Messenger
• Trillian
• Windows Messenger (on Windows XP)
• Yahoo Messenger (Versions 5.x and 6.x)

Otros Detalles:

El gusano es capaz de lanzar ataques de denegación de servicio de los siguientes tipos:

• HTTP flood
• Ping flood
• TCP flood
• UDP flood

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el archivo.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
   
5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Trend Micro
• Symantec

Fuente: red.es