Geo Noticias - AntiNovarag

Menu Principal

Actualidad

Ciencia y Tecnologia

Curiosidades

Software

De Interés

Software gratis de Casino con decenas juegos incluyendo la mítica ruleta.

Inicio

Utilidades

Antigusanos

AntiNovarag

Destruye de tu ordenar al intruso Win32.Novarg, también conocido como I-Worm.Mydoom y cuyas características son las siguientes :

Síntomas:
La presencia de los siguientes ficheros en la carpeta %sysdir%:
explorer.exe
ctfmon.dll

La siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer con el valor %sysdir%\explorer.exe

Descripción técnica:
Novarg.B es un gusano de Internet que se propaga por correo y tiene características de backdoor.

Llega en el siguiente formato:

De
%rand%@%domains%
donde %domains% puede ser uno de los siguientes:
aol.com
msn.com
yahoo.com
hotmail.com

o una serie aleatoria de caracteres.

Asunto:
Elegido al azar del siguiente listado:
Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail

Cuerpo de texto:
Puede ser:
- Caracteres aleatorios

o una de las siguientes series de caracteres:

test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Adjunto:
Elegido al azar de las siguientes series de caracteres:
body
doc
text
document
data
file
readme
message

con una de las siguientes extensiones:
pif, cmd, bat, scr, exe

El virus finaliza el proceso taskmon.exe si lo encuentra en ejecución.

Crea un objeto mutex llamado sync-v1.01__ipcmtx0 para evitar que se ejecuten simultáneamente varias instancias suyas.

En 80% de los casos abre un Bloc de notas con un fichero creado por si mismo (en la carpeta para ficheros temporales) y lo llena de datos aleatorios; pero en los restantes 20% el virus muestra un mensaje falso de error:
Error
Not enough memory to load this file.

y deja de ejecutar el Bloc de notas.

Crea un fichero dll en %sysdir%\ctfmon.dll. Este fichero dll es el componente backdoor.

Verifica la hora en el ordenador infectado; a partir del 1ro de marzo del 2004 (03:18:42), la ejecución del virus finalizará en este punto.

Una copia del virus, llamada explorer.exe será creada en la carpeta de sistema de Windows y se agregará la clave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer.exe; apuntando a la copia del virus mencionada arriba. De esta manera, el virus será lanzado con cada inicio de Windows.

El fichero %sysdir%\drivers\etc\hosts será modificado tal como sigue; de esta manera, las conexiones a las páginas requeridas no se realizarán en los verdaderos IPs y el usuario no podrá conectarse a dichos sitios. (la línea 127.0.0.1 es normal, las demas son modificadas):

127.0.0.1 localhost localhost.localdomain local lo
0.0.0.0 0.0.0.0
0.0.0.0 engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net

0.0.0.0 www.microsoft.com

En 80% de los casos, si el tiempo del sistema es posterior al 1ro de febrero del 2004 (13:09:18), el virus intenta desbordar www.sco.com (utilizando el subproceso principal y otros 7 subprocesos adicionales); en 70% de los casos, si el tiempo del sistema es posterior al día 3 de febrero del 2004 (16:09:18), el virus intentará desbordar www.microsoft.com (utilizando el subproceso principal y otros 13 subprocesos adicionales). Detalles del proceso de desbordamiento: los subprocesos intentan obtener la página de inicio de los sitios mencionados ("GET / HTTP/1.1\r\nHost: \r\n\r\n"); la prioridad de estos subprocesos está configurada para ser "below normal"; cuando el subproceso principal envía la petición, el virus reinicia el proceso (recrea los subprocesos adicionales etc.)

Sin embargo, considerando que el IP de www.microsoft.com será modificado en 0.0.0.0 utilizando el fichero modificado hosts, no habrá desbordamiento en el sitio www.microsoft.com.

Se copia a si mismo en la carpeta compartida de KaZaA con uno de los siguientes nombres:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

y con extensiones elegidas al azar del siguiente listado:
exe, scr, pif, bat

Primeramente, la búsqueda se realiza en la carpeta Archivos Temporales de Internet para asegurar una rápida propagación inicial y luego busca las direcciones de correo en todas las unidades locales encontradas.
Omite las direcciones de correo que contienen las siguientes series de caracteres:
abuse
accoun
certific
listserv
ntivi
icrosoft
admin
page
the.bat
gold-certs
feste
submit
help
service
privacy
somebody
soft
contact
site
rating
bugs
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
support
samples
info
root
ruslis
nodomai
mydomai
example
inpris
borlan
nai.
sopho
foo.
.mil
gov.
.gov
panda
icrosof
syma
kasper
mozilla
utgers.ed
tanford.e
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
google
ibm.com
fsf.
mit.e
math
unix
berkeley
spam

Espera conexiones en uno de los siguientes puertos TCP: 1080, 3128, 80, 8080 y 10080.

El virus contiene la línea de texto:
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

El análisis del virus sigue en estos momentos, volveremos con mas datos a la brevedad.

Desinfección:
Configure BitDefender para eliminar los ficheros infectados.

Virus analizado por:
Mihai Neagu, Bogdan Dragu

BitDefender

< Anterior		Siguiente >

[Volver]