• Domingo 22 de Diciembre de 2024, 09:38

Autor Tema:  VB.KQ  (Leído 1622 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
VB.KQ
« en: Viernes 12 de Septiembre de 2008, 15:47 »
0
Información extraida de Alerta Antivirus

Datos Técnicos
Peligrosidad: 3 - Media
Difusión:   Baja   Fecha de Alta:12-09-2008
Última Actualización:12-09-2008
Daño: Alto
Dispersibilidad: Alto
Nombre completo: Worm.W32/VB.KQ@MM+US    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM+US] - Se difunde por envío masivo de correo a las direcciones recolectadas en la máquina y a través de unidades del sistema (locales, mapeadas, extraibles).
Alias:W32/VB.KQ (F-Secure), TROJ_MALAGENT.HE (Trend Micro)

Detalles
Cuando el malware se ejecuta crea una copia de sí mismo como:
    * %System%2008.exe

Nota:%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

A continuación crea un driver para un servicio del kernel que se encontrará en:
    * %system%drivershideproc.sys

Para ello, se crean las siguientes claves del registro de Windows:>
Clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshideproc
Valor: "Type"=dword:00000001
Valor: "Start"=dword:00000003
Valor: "ErrorControl"=dword:00000001
Valor: "ImagePath"="??%systemdir%Drivershideproc.sys"
Valor: "DisplayName"="hideproc"

Clave: HKEY_CURRENT_USERSoftwareVB and VBA Program Settings2008Registered
Valor: started    = "True"

Modifica la siguiente entrada para ejecutarse en el inicio de Windows:

Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Valor: Shell = "Explorer.exe %Systemdir%2008.exe"

Posteriormente usa ese fichero hideproc.sys para ocultarse en la lista de procesos y tras haberlo hecho, desinstala el driver.

El gusano incluye un capturador de pulsaciones que usa para almacenar todo lo tecleado en la máquina comprometida. Esta información queda guardada en el fichero:

    * %system%2008.txt

...con el siguiente formato:

 Started: %Fecha y hora de la infección%
 User Name: %Usuario del sistema infectado%'
 Computer Name: %Nombre del equipo infectado%
 [<%Time Stamp%>]<<%Nombre del programa%>> %texto tecleado%

Una vez en ejecución, intenta descargar ficheros de:

    * http://www.sakarahisaki.googlepages.com/[...]OSSMTP.dll
    * http://www.sakarahisaki.googlepages.com/[...]OSSMTP.ocx

Una vez descargados en el directorio %system%, estos ficheros son añadidos al registro de Windows usando el comando:

cmd /c regsvr32/s [%fichero OSSMTP%]".

Método de Propagación

Se trata de un gusano que manda copias de si mismo a todas las direcciones de correo electrónico que recolecta en el sistema infectado. También se copia en todas las unidades del sistema, extraíbles y mapeadas que haya conectadas al equipo infectado.

Propagación por correo electrónico

Obtiene las direcciones de correo de todos los ficheros encontrados en C:. El gusano también busca la cadena de texto "@yahoo.com" en todos los ficheros con extensión HTM y HTML.

Para propagarse, el gusano descarga e instala una librería que le permite enviar correos vía SMTP a través de servidores de correo de Yahoo! Mail.

Los mensajes enviados tienen el siguiente aspecto:

De: Videos@bestfilm.net
Asunto: "Film"
Adjunto: 2008.exe
Cuerpo del Mensaje: "Welcome to our cinema"

Asimismo el gusano manda la información recopilada por el capturador de contraseñas a la dirección "kelvilmitnick@yahoo.com"

El correo será similar a :

    From: [...] Subject: Information Attachment: 2008.txt Message Body: Information


Propagación por copias en las unidades del sistema

Deja copias de sí mimo en todas las unidades extraíbles, fijas y compartidas. En cada una de ellas descarga los siguientes ficheros:

    * %drive%2008.exe
    * %drive%autorun.inf

Nota:%Drive% es una variable que hace referencia a la unidad física o extraíble en la que se crea el fichero (H:/ , S:/, etc).

El fichero 2008.exe es realmente una copia de sí mismo, y el fichero autorun.inf contiene las siguientes cadenas:

[AUTORUN]
      open=2008.e
      ;shellopen=Open(&O)
      shellopenCommand=2008.exe
      shellopenDefault=1
      ;shellexplore=Manager(&X)
      shellexploreCommand=2008.exe

Otros Detalles

El gusano usa técnicas de camuflaje de rootkit para esconder su presencia en la maquina infectada, incluyendo borrar su propio fichero de instalación una vez ésta ha finalizado.
Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * 2008.exe
    * 2008.txt

Asunto del mensaje (virus que llegan por correo)

    * Information
    * Film
El pasado son solo recuerdos, el futuro son solo sueños