• Lunes 18 de Noviembre de 2024, 04:39

Autor Tema:  Chod.b  (Leído 1263 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Chod.b
« en: Lunes 4 de Abril de 2005, 18:07 »
0
Peligrosidad: 3 - Media  
Difusión:   Baja
Fecha de Alta:04-04-2005
Última Actualización:04-04-2005
Daño:  Alto
[Explicación de los criterios]
Dispersibilidad:  Alto
Nombre completo: Worm.W32/Chod.B    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 152204
Alias:WORM_CHOD.B (Trend Micro), W32.Chod.B@mm (Symantec)
Detalles
Instalación

El gusano puede recibirse en un correo electrónico o mediante la aplicación MSN Messenger. Tras la instalación, presentará el siguiente cuadro de mensje:



Dentro de la carpeta de Window, crea una carpeta propia con un nombre aleatorio en la que descargará los siguientes ficheros:


CSRSS.DAT; Fichero no malicioso que es utilizado por el gusano para almacenar la información capturada en la máquina infectada. Tendrá atributos de Sistema y Oculto.
CSRSS.EXE; Copia del gusano con atributos de Solo lectura, Sistema y Oculto.
CSRSS.INI; FIchero no malicioso usado para almacenar información de configuración.
También crea otro fichero no malicioso, CPU.DLL, en la carpeta del sistema de Windows.

Crea las siguientes entradas en las claves de registro indicadas, para autoiniciarse cada vez que sea arrancado Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
csrss = "%System%\\csrss.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
load = "%System%\\csrss.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
run = "%System%\\csrss.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
csrss = "%System%\\csrss.exe"

También inserta el siguiente enlace en la carpeta de inicio para intentar iniciarse junto al arranque de Windows:

%Startup%\csrss.lnk

Para completar su instalación, crea los siguientes registros:

HKEY_CLASSES_ROOT\Chode
HKEY_CURRENT_USER\Software\Chode
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Chode

A los que insertará el siguiente valor que utilizará como marca de infección:
Installed = "1"

Modifica el valor de las siguientes entradas:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "dword:00000002"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = "dword:00000000"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "dword:00000000"

También realiza los siguientes cambios en los registros indicados, para disminuir los privilegios de sistema que puede uutilizar el usuario:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoAdminPage = "1"

También verifica la existencia de las siguientes claves de registro, para en caso de no existir proceder a crearlas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
EventLogging = "00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\Ciphers

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\Hashes

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL\Protocols

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Eventlog\System\Schannel


Propagación vía Correo

Se propagará por correo sobre todas las direcciones que capture de ficheros existentes en la máquina infectada que posean las siguientes extensiones:


.adb
.asp
.cgi
.ctt
.dbx
.dhtm
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.sql
.tbb
.txt
.uin
.vbs
.wab
.xml
Intentará evitar capturar las direcciones que contengan alguna de las siguientes cadenas de texto:


antivirus
avp
bitdefender
f-secure
mcafee
messagelabs
microsoft
spam
symantec
Enviará un mensaje a las direcciones capturadas con un fichero adjunto que es una copia del gusano.

Las características del mensaje enviado serán las siguientes:

Remitente: Alguno de los siguientes:


security@microsoft.com
www.trendmicro-europe.com/housecall
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
phpbb.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.phpbb.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com

Detención de procesos de protección:

Puede detectar e impedir la ejecución o detener aquellos procesos relacionados con programas Antivirus y FireWall:


bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe
gcasServ
hijackthis*
KAVPersonal50
microsoft antispyware*
Outpost Firewall
pccguide.exe
services
Symantec NetDriver Monitor
Zone Labs Client

Capacidades de puerta trasera

Se conectará a un canal predeterminado de un servidor IRC desde donde esperará el envío de comandos por parte del atacante remoto para:


Apagar o reiniciar el sistema
Capturar información de las configuraciones de correo electrónico.
Iniciar el envío masivo de mensajes
Capturar el nombre de la máquina o la dirección ip
Inciciar el envio de mensajes vía MSN
Descargar ficheros
Finalizar la ejecución y/o desinstalar el guasno
El gusano transaporta y ejecuta alguna de las siguientes herramientas para recuperar las claves de acceso de las siguientes aplicaciones:

Herramientas:


MessenPass
Protected Storage PassView

Aplicaciones:

AOL Instant Messenger (in old versions)
AOL Instant Messenger/Netscape 7
GAIM
ICQ Lite 4.x/2003
Miranda
MSN Messenger
Trillian
Windows Messenger (on Windows XP)
Yahoo Messenger (Versions 5.x and 6.x)
Otros Detalles:

El gusano es capaz de lanzar ataques de denegación de servicio de los siguientes tipos:

HTTP flood
Ping flood
TCP flood
UDP flood  
El pasado son solo recuerdos, el futuro son solo sueños