Detectada a última hora del lunes 26 un nuevo gusano que se distribuye
de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza, a juzgar por el número de mensajes
infectados que circulan desde sus primeras horas de vida. En el
momento que escribimos esta noticia algunas casas antivirus ya alertan
sobre el gusano, bautizándolo como Novarg, Mydoom o Mimail.R, entre
otros nombres, si bien la inmensa mayoría aun no han distribuido la
actualización correspondiente para proteger a sus usuarios.
El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye
vía correo electrónico a través de archivos adjuntos con la extensión
.BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula
ser un archivo de texto.
El formato del mensaje en el que viaja es variable, la dirección de
remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:
- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"
- "hello"
- "hi"
Como cuerpo del e-mail se han podido confirmar los siguientes textos:
- "The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment".
- "The message contains Unicode characters and has been sent as a
binary attachment."
- "Mail transaction failed. Partial message is available."
- "test"
Cuando se ejecuta en un sistema crea los siguientes archivos:
- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system)
de Windows
El archivo "Message" lo crea con caracteres al azar, y muestra su
contenido con el bloc de notas. Con este efecto el gusano intenta
engañar al usuario, para que crea que el archivo adjunto en el
e-mail que ha ejecutado era sólo texto sin sentido, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección
y propagación.
Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:
- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
También intenta reproducirse a través de redes P2P copiándose
en la carpeta de archivos compartidos de Kazaa con las extensiones
.PIF, .SCR .BAT y los siguientes nombres:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Por último se ha detectado que el gusano abre el puerto TCP 3127
en los sistemas infectados, lo que podría sugerir funcionalidades
de puerta trasera.
En el momento de redactar esta nota, sólo TrendMicro reconocía el
gusano desde últimas horas del lunes 26 como "WORM_MIMAIL.R",
NOD32 lo hacía durante las primeras horas de la madrugada del ya
martes 27 como "Win32/Mydoom.A", seguido a los pocos minutos por
Antigen como "MyDoom.A@m".
Symantec tiene publicada la alerta en su web como categoría 4 (en
una escala de 1 a 5), y Network Associates (McAfee) define la
alerta como "High-Outbreak", si bien ambas aun están analizando el
gusano y no han proporcionado la actualización oficial a los
usuarios de sus antivirus. En el caso de McAfee sí dispone ya de
una firma adicional (Extra DAT) para actualizar a demanda.
Igualmente no reconocen aun el nuevo gusano las soluciones
InoculateIT, Kaspersky, Panda y Sophos.
Desde Hispasec seguiremos durante la madrugada analizando el gusano,
monitorizando su actividad, y comprobando las respuestas de las
diferentes soluciones antivirus, de forma que en las próximas
horas ofreceremos información más detallada al respecto.
Opina sobre esta noticia:http://www.hispasec.com/unaaldia/1919/comentarMás Información:WORM_MIMAIL.R
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=57511&VName=WORM_MIMAIL.R&VSect=TW32.Novarg.A@mm
http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.htmlW32/Mydoom@MM
http://vil.nai.com/vil/content/v_100983.htm
