Avisos 10 de September, 2010

Cuc “W32/VBMania@MM”

El codi maliciós VBMania (W32/VBMania@MM) és un cuc d’autoreplicació amb múltiples variants que, segons es comenta en diverses llistes, infecta inicialment mitjançant la distribució de correus electrònics que intenten enganyar l’usuari final perquè faci clic en un enllaç visible al cos del missatge. Es tracta de codi maliciós que té la capacitat d’autoexecució i es pot propagar a recursos compartits de xarxa i a diferents variants de discos extraïbles.

Recursos afectats:

Windows.
 
 


Impacte:

Execució de codi des d’una ubicació remota.


Solució:

Ignorar els correus de suplantació evitant connectar-nos i descarregar continguts sospitosos.
Tenir actualitzat l’antivirus.


Detall:

Patrons de correu maliciós detectats fins ara:
 
Patró 1:
 
Subject: Here you have or Just For you
Body:
Hello:
 
This is The Document I told you about,you can find it Here.
hxxp://www.sharedocuments.com/library/PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.
Cheers,
 
Patró 2:
Hello:
 
This is The Free Dowload Sex Movies,you can find it Here.
hxxp://www.sharemovies.com/library/SEX21.025542010.wmv
Enjoy Your Time.
Cheers,
 
Possibles localitzacions del virus:
 
     c:\\N73.Image12.03.2009.JPG.scr
     d:\\N73.Image12.03.2009.JPG.scr
     E:\\N73.Image12.03.2009.JPG.scr
     F:\\N73.Image12.03.2009.JPG.scr
     G:\\N73.Image12.03.2009.JPG.scr
     H:\\N73.Image12.03.2009.JPG.scr
     New Folder\\N73.Image12.03.2009.JPG.scr
     music\\N73.Image12.03.2009.JPG.scr
     print\\N73.Image12.03.2009.JPG.scr
 
Quan s’executa el fitxer de malware descarregat, s’observen les següents accions:
 
Intenta parar i esborrar els següents serveis:
 
    0053591272669638mcinstcleanup
     AntiVirFirewallService
     AntiVirMailGuard
     AntiVirSchedulerService
     AntiVirService
     Arrakis3
     aswUpdSv
     Avast! Antivirus
     avast! Mail Scanner
     avast! Web Scanner
     AVG Security Toolbar Service
     avg9wd
     Avgfws9
     AVGIDSAgent
     AVP
     Gwmsrv
     LIVESRV
     Mc0DS
     Mc0obeSv
     McAfee SiteAdvisor Service
     McMPFSvc
     mcmscsvc
     McNASvc
     McProxy
     McShield
     mfefire
     mfevtp
     MSK80Service
     NIS
     Panda Software Controller
     PAVFNSVR
     PavPrSrv
     PAVSRV
     prlo
     PSHost
     PSIMSVC
     PskSvcRetail
     scan
     sdAuxService
     sdCoreService
     SfCtlCom
     TMBMServer
     TmProxy
     TPSrv
     VSSERV
 
Descàrrega de fitxers:
 
     ff.iq
     gc.iq
     ie.iq
     im.iq
     m.iq
     op.iq
     pspv.iq
     rd.iq
     w.iq
     SendEmail.iq
     hst.iq
     tryme.iq
 
Creació de fitxers:
 
     %WINDIR%\\system\\Administrator CV 2010.exe
     %WINDIR%\\system\\updates.exe
     %WINDIR%\\Administrator CV 2010.exe
     %WINDIR%\\autorun.inf
     %WINDIR%\\autorun2.inf
     %WINDIR%\\csrss.exe
     %WINDIR%\\vb.vbs
     %DIR%\\Administrator CV 2010.exe
     %WINDIR%\\tryme1.exe
     %WINDIR%\\im.exe
     %WINDIR%\\csrss.exe
     %WINDIR%\\vb.vbs
     %TEMP%\\~DF1DC7.tmp
     %WINDIR%\\ie.exe
     %WINDIR%\\rd.exe
     %WINDIR%\\re.exe
     %WINDIR%\\system\\updates.exe
     %WINDIR%\\SYSTEM32\\SendEmail.dll
     %WINDIR%\\gc.exe
     %WINDIR%\\hst.iq
     %WINDIR%\\ff.exe
     %WINDIR%\\op.exe
     %WINDIR%\\pspv.exe
     %WINDIR%\\re.iq
     %WINDIR%\\ff.dlm
     %APPDATA%\\addons.dat
 
Creació de fitxers temporals:
 
    %WINDIR%\\ff.iq
    %WINDIR%\\ie.iq
    %WINDIR%\\SendEmail.iq
    %WINDIR%\\w.iq
    %WINDIR%\\m.iq
    %WINDIR%\\gc.iq
    %WINDIR%\\SYSTEM32\\drivers\\etc\\hosts
    %WINDIR%\\pspv.iq
    %WINDIR%\\w.exe
    %WINDIR%\\tryme.iq
    %WINDIR%\\im.iq
    %WINDIR%\\rd.iq
    %TEMP%\\~DFAFA.tmp
    %WINDIR%\\m.exe
    %WINDIR%\\SendEmail.dll
    %WINDIR%\\b.bat
    %WINDIR%\\op.iq
 
Modificació del fitxer:
 
%WINDIR%\\SYSTEM32\\wbem\\logs\\wbemprox.log
 
Nota, la ruta %WINDIR% es tradueix segons la versió de sistema operatiu Windows:
 
 Versions de Windows 9x/ME/XP/Vista/7 per la ruta  \\WINDOWS.
 Versions de Windows NT/2000 per la ruta \\WINN.
 
Accions realitzades a nivell de registre, claus afectades:
 
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\00hoeav.com
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\0w.com
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\360rpt.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\360safe.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\360safebox.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\360tray.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\6.bat
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\6fnlpetp.exe
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\6x8be16.cmd
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\a2cmd.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\a2free.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\a2service.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\a2upd.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\abk.bat
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\adobe Gamma Loader.exe
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\algsrvs.exe
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\algssl.exe
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\angry.bat
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\anti-trojan.exe
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\aNtIaRP.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\antihost.exe
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\aNtS.ExE
     HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\apu-0607g.xml
     HKEY_CURRENT_USER\\SOFTWARE\\MICROSOFT\\WINDOWS SCRIPT HOST\\
     HKEY_CURRENT_USER\\SOFTWARE\\MICROSOFT\\WINDOWS SCRIPT HOST\\SETTINGS\\
     HKEY_CURRENT_USER\\SOFTWARE\\MICROSOFT\\INTERNET EXPLORER\\TOOLBAR\\LOCKED = 1
     HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Office\\12.0\\Outlook\\Security\\ObjectModelGuard = 0x00000002
 
Connexions de xarxa que s’han detectat:
 
    [1] hxxp://members.multimania.co.uk/yahoophoto/*****
    [2] 213.131.252.***:80



Refs:

http://www.avertlabs.com/research/blog/index.php/2010/09/09/widespread-reporting-of-here-you-have-virus/

https://kc.mcafee.com/corporate/index?page=content&id=KB69857

http://vil.nai.com/vil/content/v_275435.htm

http://vil.nai.com/vil/vbm/extra.dat

http://vil.nai.com/vil/vbm/stinger.exe

http://www.ironport.com/toc/
 

Publicat a: Avisos
Tags: Troià