Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Mydoom.AH@MM

Alias:
W32/Mydoom.ah@MM (McAfee), WORM_MYDOOM.AH (Trend Micro)

Descripción:
Nueva versión Mydoom, que utiliza la vulnerabilidad de desbordamiento de búfer con etiqueta IFRAME en Internet Explorer.

Los usuarios con Windows XP SP2 no se encuentran afectados por la vulnerabilidad que permite la ejecución de este gusano.

El gusano se propaga por medio de mensajes de correo electrónico, enviados a direcciones obtenidas en archivos del sistema infectado.

El mensaje no posee adjunto alguno. El enlace incluido en su texto, apunta al sistema infectado. Haciendo clic en dicho enlace, se accede a un servidor Web que se está ejecutando en el sistema comprometido (la computadora que envió el mensaje). Dicho servidor ofrece un documento HTML conteniendo el código en JavaScript para provocar un desbordamiento de búfer, debido a un error de límites en el manejo de ciertos atributos de las etiquetas FRAME e IFRAME por parte del Internet Explorer. Este desbordamiento de búfer provoca la ejecución del gusano.

Detalles:
Instalación

Cuando se ejecuta, el gusano crea un archivo en la carpeta System de Windows:

  • c:\windows\system32\??????32.exe

    Donde los "????" son caracteres aleatorios.

    NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También se crean las siguientes entradas en el registro, la primera para autoejecutarse en cada reinicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Reactor5 = "%System%\[Nombre del gusano]

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version 

Propagación

Cuando el archivo "??????32.exe" es ejecutado, se ejecuta un servidor en el equipo infectado, y comienza la propagación de mensajes, conteniendo el enlace a dicho equipo.

Los mensajes enviados poseen las siguientes características:

De: [dirección falsificada]

Asunto: [alguno de los siguientes]

  • - vacío
  • - Confirmation
  • - hey!
  • - hi!

Texto del mensaje:

  • Congratulations! PayPal has successfully charged $175
    to your credit card. Your order tracking number is
    A866DEC0, and your item will be shipped within three
    business days.
    To see details please click this link .

    DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is
    being sent by an automated message system and the reply
    will not be received.

    Thank you for using PayPal. 
  • Hi! I am looking for new friends.
    My name is Jane, I am from Miami, FL.

    See my homepage with my weblog and last webcam photos!

    See you! 

Los mensajes contienen un enlace al equipo infectado que envía el mensaje.

Las propiedades del mensaje, pueden contener alguno de los siguientes campos:

  • X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis .org/)
  • X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)
  • X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software

Los sistemas infectados mostrarán al navegador Internet Explorer escuchando por el puerto TCP 1639, que es el puerto donde se ejecuta el servidor Web.

Si el usuario sigue el enlace enviado por el gusano, es conectado con el servidor Web iniciado en la máquina infectada:

  • http://[dirección IP]:1639/index.htm

    Donde [dirección IP] es la IP actual de la máquina que envió el mensaje.

La página INDEX.HTM es la que contiene el código para provocar el desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una consola de comandos (shell), que instruye a la máquina local a descargar un archivo remoto:

  • http://[dirección IP]:1639/reactor

El archivo REACTOR (sin extensión), es almacenado en el escritorio del usuario con el nombre de VV.DAT y luego ejecutado.

El gusano contiene una lista de servidores IRC, a los que intenta conectarse a través del puerto TCP 6667:

  • broadway.ny.us.dal.net
  • brussels.be.eu.undernet.org
  • caen.fr.eu.undernet.org
  • ced.dal.net
  • coins.dal.net
  • diemen.nl.eu.undernet.org
  • flanders.be.eu.undernet.org
  • graz.at.eu.undernet.org
  • london.uk.eu.undernet.org
  • los-angeles.ca.us.undernet.org
  • lulea.se.eu.undernet.org
  • ozbytes.dal.net
  • qis.md.us.dal.net
  • vancouver.dal.net
  • viking.dal.net
  • washington.dc.us.undernet.org

El gusano obtiene direcciones a las que enviarse, de archivos en la máquina infectada.

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

     

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    Reactor5 = "%System%\[Nombre del gusano]

    HKCU\Software\Microsoft\Windows
    \CurrentVersion\Explorer\ComExplore

    HKCU\Software\Microsoft\Windows
    \CurrentVersion\Explorer\ComExplore\Version

    HKLM\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Explorer\ComExplore

    HKLM\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Explorer\ComExplore\Version 

  5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados