Worm.W32/Mydoom.AI@MM

Alias:
W32.Mydoom.AI@mm (Symantec), I-Worm.Mydoom.ad (Kaspersky (viruslist.com))

Descripción:
Nueva versión Mydoom, que utiliza la vulnerabilidad de desbordamiento de búfer con etiqueta IFRAME en Internet Explorer.

Los usuarios con Windows XP SP2 no se encuentran afectados por la vulnerabilidad que permite la ejecución de este gusano.

El gusano se propaga por medio de mensajes de correo electrónico, enviados a direcciones obtenidas en archivos del sistema infectado.

IFRAME.BoF es un exploit para una vulnerabilidad de tipo Desbordamiento de Búfer que se produce en Internet Explorer v6.0 en ordenadores con Windows XP/2000, y que permite ejecutar remotamente código arbitrario en el ordenador vulnerable, con los mismos privilegios que el usuario actual.

Esta vulnerabilidad está catalogada como extremadamente crítica, y se debe a la manera en que Internet Explorer procesa los atributos SRC y NAME de las etiquetas HTML FRAME, IFRAME y EMBED.

El exploit se inserta en una página web maliciosa o en un mensaje de correo electrónico en formato HTML, que contendrán código ejecutable. Dicho código es ejecutado automáticamente cuando se produce el desbordamiento de búfer en el procesado de la etiqueta IFRAME, FRAME o EMBED especialmente creada.

Si es explotado con éxito, IFRAME.BoF permite ejecutar código arbitrario, que podría ser de cualquier naturaleza. Concretamente, algunas variantes del gusanoMydoom utilizan IFRAME.BoF para afectar ordenadores.

Actualmente, no existe ningún parche de seguridad disponible. Mientras tanto, puede seguir estas recomendaciones:

• Mantenga su programa antivirus siempre actualizado.

• Desactive la ejecución de Active Scripting.

• No pulse enlaces no solicitados que haya recibido a través del correo electrónico, mensajería instantánea o canales IRC.

• Configure su programa cliente de correo para visualizar los mensajes en formato de texto plano.

Detalles:
Instalación

Cuando se ejecuta, el gusano crea un archivo en la carpeta System de Windows:

• c:\windows\system32\??????32.exe

  Donde los "????" son caracteres aleatorios.

  NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También se crean las siguientes entradas en el registro, la primera para autoejecutarse en cada reinicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Reactor[número aleatorio] = "%System%\[Nombre del gusano]

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComExplore\Version 

Propagación

Cuando el archivo "??????32.exe" es ejecutado, se ejecuta un servidor SMTP en el equipo infectado, y comienza la propagación de mensajes, conteniendo el enlace a dicho equipo.

Para propagarse captura direcciones electrónicas contenidas en la libreta de direcciones de Windows, y en ficheros con las siguietnes extensiones:

• wab
• pl
• adbh
• tbbg
• dbxn
• aspd
• phpq
• shtl
• htmb
• txt

Intentará no utilizar aquellas cuyo dominio contenga alguna de las siguientes cadenas de texto:

• acketst
• arin.
• berkeley
• bsd
• fido
• fsf.
• gnu
• google
• iana
• ibm.com
• ietf
• isc.o
• isi.e
• kernel
• linux
• math
• mit.e
• mozilla
• pgp
• rfc-ed
• ripe.
• secur
• sendmail
• tanford.e
• unix
• usenet
• utgers.ed

También intentará evitar las que comiencen con alguno de los siguientes textos:

• abuse
• anyone
• bugs
• ca
• contact
• feste
• gold-certs
• help
• info
• me
• no
• nobody
• noone
• not
• nothing
• page
• postmaster
• privacy
• rating
• root
• samples
• secur
• service
• site
• soft
• somebody
• someone
• spm
• submit
• the.bat
• webmaster
• www
• you
• your

y las que contengan alguna de las siguientes cadenas de texto:

• accoun
• admin
• bsd
• certific
• google
• icrosoft
• linux
• listserv
• ntivi
• spam
• support
• unix

Los mensajes enviados poseen las siguientes características:

De: [dirección falsificada]

Asunto: [alguno de los siguientes]

• Hi!
• [vacío]
• [caracteres aleatorios]
• Confirmation
• funny photos :)
• hello
• hey!

Texto del mensaje:

• Look at my homepage with my last webcam photos!
• FREE ADULT VIDEO! SIGN UP NOW!

Los mensajes contienen un enlace al equipo infectado que envía el mensaje.

Las propiedades del mensaje, pueden contener alguno de los siguientes campos:

• X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis .org/)
• X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)
• X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software

Los sistemas infectados mostrarán al navegador Internet Explorer escuchando por el puerto TCP 1639, que es el puerto donde se ejecuta el servidor Web.

Si el usuario sigue el enlace enviado por el gusano, es conectado con el servidor Web iniciado en la máquina infectada:

• http://[dirección IP]:1639/index.htm

  Donde [dirección IP] es la IP actual de la máquina que envió el mensaje.

La página INDEX.HTM es la que contiene el código para provocar el desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una consola de comandos (shell), que instruye a la máquina local a descargar un archivo remoto:

• http://[dirección IP]:1639/reactor

El archivo REACTOR (sin extensión), es almacenado en el escritorio del usuario con el nombre de VV.DAT y luego ejecutado.

El gusano contiene una lista de servidores IRC, a los que intenta conectarse a través del puerto TCP 6667:

• broadway.ny.us.dal.net
• brussels.be.eu.undernet.org
• caen.fr.eu.undernet.org
• ced.dal.net
• coins.dal.net
• diemen.nl.eu.undernet.org
• flanders.be.eu.undernet.org
• graz.at.eu.undernet.org
• london.uk.eu.undernet.org
• los-angeles.ca.us.undernet.org
• lulea.se.eu.undernet.org
• ozbytes.dal.net
• qis.md.us.dal.net
• vancouver.dal.net
• viking.dal.net
• washington.dc.us.undernet.org

Otros detalles

Intentará borrar ciertas entradas en el registro realizadas por versiones anteriores del gusano

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\center
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\reactor
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Rhino

Finalmente, cuando la fecha del sistema sea posterior al día 15-12-2004 en gusano se desactiva.

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine las siguientes entradas del registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
   CurrentVersion\Run
   Reactor[número aleatorio] = "%System%\[Nombre del gusano]
   

   HKCU\Software\Microsoft\Windows
   \CurrentVersion\Explorer\ComExplore
   

   HKCU\Software\Microsoft\Windows
   \CurrentVersion\Explorer\ComExplore\Version
   

   HKLM\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Explorer\ComExplore
   

   HKLM\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Explorer\ComExplore\Version
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Symantec

Fuente: red.es