Reacción de los antivirus y análisis del gusano Mydoom/Novarg

Durante toda la madrugada la actividad de los laboratorios antivirus ha

sido frenética, y a primera hora de la mañana todos contaban con la

correspondiente actualización. En esta entrega analizaremos además la

estrategia seguida por el gusano para engañar e infectar a los usuarios,

así como el resto de características.

La reacción de

las diferentes soluciones antivirus, en ofrecer la actualización

pertinente a sus usuarios para detectar el nuevo gusano, ha sido la

siguiente:

TrendMicro, el 26/01/2004 a las 23:52:29 como

WORM_MIMAIL.R

NOD32, el 27/01/2004 a las 00:55:43 como Win32/Mydoom.A

Antigen, el 27/01/2004 a las 01:39:51 como MyDoom.A@mm

Norton, el

27/01/2004 a las 01:50:13 como W32.Novarg.A@mm

Kaspersky, el

27/01/2004 a las 02:08:53 como I-Worm.Novarg

Sophos, el 27/01/2004 a

las 02:09:19 como Win32/MyDoom-A

InoculateIT, el 27/01/2004 a las

02:28:42 como Win32.Shimg.Worm

Panda, el 27/01/2004 a las 05:39:04

como W32/Mydoom.A.worm

McAfee, el 27/01/2004 a las 05:57:49 como

W32/Mydoom@MM

Estos datos pertenecen a las soluciones antivirus

monitorizadas 24hx7d por el laboratorio de Hispasec. Destacan los

distintos nombres con los que el gusano ha sido bautizado (Mimail.R,

Mydoom, Novarg y Shimg), y como en prácticamente 6 horas se han

concentrado todas las actualizaciones de los diferentes productos,

muestra del peligro que representa el gusano.

Táctica del

gusano para engañar a los usuarios

Este gusano no

infecta de forma automática a los sistemas, a diferencia de aquellos,

como Blaster, que se aprovechaban de vulnerabilidades de los productos

de Microsoft. En este caso, el usuario debe abrir y ejecutar el archivo

que contiene el gusano para infectar su sistema.

Para engañar a

los usuarios, el gusano suele llegar adjunto en un mensaje que simula

haber tenido algún problema con el servidor de correo. Entre otras

excusas, el mensaje del gusano puede indicar que el correo electrónico

contenía caracteres no válidos y ha requerido enviarlo como archivo

binario adjunto. Algunos de estos mensajes trampa son:

– The message cannot be represented in 7-bit ASCII encoding and has been sent

as a binary attachment.

– The message contains Unicode

characters and has been sent as a binary attachment.

– Mail

transaction failed. Partial message is available.

Aunque

también se han recibido muestras con otros textos o con el cuerpo del

mensaje vacío.

Los textos más comunes que aparecen en el

asunto del mensaje son:

test

hi

hello

Mail Delivery

System

Mail Transaction Failed

Server Report

Status

Error

El archivo adjunto, donde viaja el código del gusano, es un ejecutable con

extensión .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en Windows

simula ser un archivo de texto y también se han detectado casos en los

que aparece como acceso directo de MsDos, entre los nombres más comunes

reportados se encuentran:

readme

file

text

doc

hello

body

message

test

document

data

Cuando se ejecuta en un

sistema crea los siguientes archivos:

– Message en el

directorio temporal de Windows

– shimgapi.dll y taskmon.exe en el

directorio de sistema (system) de Windows

El archivo Message lo

crea con caracteres al azar, y muestra su contenido ilegible con el bloc

de notas. Con este efecto el gusano intenta engañar al usuario, para que

crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto

sin sentido debido a algún error del correo electrónico, cuando en

realidad ha activado el gusano y da comienzo su rutina de infección y

propagación.

Infección del sistema

Añade las siguientes entradas en el registro de Windows para asegurarse

su ejecución en cada inicio del sistema:

-HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRunTask Mon

= %System%taskmon.exe

-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunTask

Mon = %System%taskmon.exe

El archivo taskmon.exe, puede

sobreescribir a un ejecutable legítimo de Windows que tiene el mismo

nombre, por lo que los usuarios no se deben alertar por encontrar

únicamente este nombre de archivo en sus sistemas. Para corroborar la

infección deben comprobar el resto de síntomas aquí descritos o utilizar

un antivirus puntualmente actualizado.

Adicionalmente crea las

siguientes entradas en el registro de Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version

Puerta trasera

El archivo shimgapi.dll es inyectado en

el ejecutable de Windows explorer.exe a través de la siguiente entrada

en el registro:

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer3

2 (Default) = %SysDir%shimgapi.dll

Esta DLL actúa

como proxy, abriendo un puerto TCP en el sistema en el rango 3127-3198,

que permite el acceso de terceras personas. Además cuenta con

funcionalidades para descargar y ejecutar programas de forma arbitraria,

lo que posibilita todo tipo de acciones.

Propagación por correo electrónico

Una vez infecta un sistema, el gusano recoge direcciones de correo a las

que enviarse buscando en los archivos con extensión .htm, .sht, .php,

.asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del mensaje en el

que se autoenvía es el que describimos con anterioridad, haciéndose

pasar por un problema en el envío o visualización del correo electrónico.

Como curiosidad, parece ser que el autor del gusano ha querido tener cierto

trato de favor con las universidades de Estados Unidos, ya que evita

enviarse a las direcciones de e-mail que finalizan en .edu

Propagación a través del cliente KaZaa (red P2P)

En

los sistemas que infecta localiza la carpeta de archivos compartidos del

cliente P2P KaZaa y se copia con la extensión .pif, .scr, .bat o .exe y

alguno de los siguientes nombres:

nuke2004

office_crack

rootkitXP

strip-girl-2.0bdcom_patches

activation_crack

icq2004-final

winamp

Para que otro usuario se infecte a través

de esta vía, es necesario que realice en la red P2P una búsqueda por

alguno de los nombres utilizados por el gusano, que proceda a su

descarga, y ejecute el archivo.

En realidad esta vía de contagio

es apenas insignificante en comparación con la propagación alcanzada por

correo electrónico.

Ataque por denegación de servicio

distribuido

El gusano contiene un payload o efecto que se

activa a partir del 1 de febrero, dejará de propagarse a través del

correo electrónico para iniciar un ataque por denegación de servicio

contra el dominio www.sco.com. Este ataque también tiene fecha de

caducidad, ya que el gusano dejará de realizar peticiones GET al puerto

80 de sco.com a partir del 12 de febrero, fecha a partir de la cual sólo

quedará activa la puerta trasera en el sistema infectado a través del

puerto TCP abierto.

Al parecer el creador del gusano tiene

interés en perjudicar al grupo SCO, empresa que está en los últimos

tiempos en el punto de mira de la comunidad Linux, ya que demandó a IBM

argumentando que el código fuente de Linux contiene fragmentos copiados

del Unix de SCO, supuesto plagio que hasta el momento ha sido incapaz de

demostrar.

Prevención

Como siempre la regla de

oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos,

sobre todo si no hemos demandado su envío. Adicionalmente, contar con

soluciones antivirus correctamente instaladas y puntualmente

actualizadas. También resulta útil seguir los foros de seguridad o

listas como una-al-día, para estar al tanto de las últimas amenazas

que nos pueden afectar