NUEVO GUSANO DE PROPAGACIÓN MASIVA

El gusano se presenta por e-mail simulando ser un mensaje enviado por el administrador de nuestro servidor de correo, por lo que modifica el remite para que aparezca el nombre "admin" y el dominio que utiliza el usuario:

Remite: admin@dominio_del_destinatario

Asunto: your account

Cuerpo:

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

Best regards,

Administrator

Adjunto: Message.zip

Si la víctima abre el adjunto comprimido "Message.zip" podrá ver que contiene el archivo "MESSAGE.HTM", aparentemente una inofensiva página web en formato HTML. Si embargo si intenta visualizar este archivo lanzará la acción del gusano, esa página web aprovecha una vulnerabilidad existente en Outlook Express para instalar su código malicioso, creando y ejecutando el archivo "foo.exe" en la carpeta de archivos temporales de Internet.

Este ejecutable crea los siguientes archivos en la carpeta de Windows:

videodrv.exe

exe.tmp

zip.tmp

Además introduce la siguiente entrada en el registro de Windows para asegurar la ejecución del gusano cada vez que se inicie el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VideoDriver"="%Windir%\videodrv.exe"

Una vez se instala en el sistema del usuario comienza su rutina de propagación a otros usuarios. En primer lugar comprueba si el sistema está conectado a Internet, intentando establecer conexión con la página google.com. Si realiza la conexión, busca direcciones de correo entre los archivos que encuentra en el sistema, buscando en aquellos archivos que *no* tienen alguna de estas extensiones:

.avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar .tif .vxd .wav .zip

Las direcciones recolectadas son almacenadas en el archivo eml.tmp dentro de la carpeta de Windows y les envía e-mails infectados con el gusano, con las mismas características que comentamos al principio.

Adicionalmente introduce la siguiente entrada en el registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\ Distribution Units\{11111111-1111-1111-1111-111111111111}

Existe un parche de Microsoft desde abril de 2003 para corregir esta vulnerabilidad, e impedir así la ejecución automática de este gusano al visualizar el archivo .htm. Los detalles en el una-al-día (http://www.hispasec.com/unaaldia/1643).

En el caso de infección, los pasos para eliminar el gusano de un sistema son sencillos:

* En Win9x/ME iniciar el sistema en Modo Seguro (puede seleccionarse pulsando F8 al iniciar el sistema).

* En WinNT/2000/XP terminar el proceso videodrv.exe (desde el administrador de tareas, pestaña proceso).

* Borrar los siguientes archivos de la carpeta de Windows (típicamente c:\windows o c:\winnt):

videodrv.exe, eml.tmp, exe.tmp, zip.tmp

* Borrar las siguientes entradas del registro de Windows (regedit.exe):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run VideoDriver

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run VideoDriver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\ Distribution Units\{11111111-1111-1111-1111-111111111111}

(Agencias)