• Domingo 22 de Diciembre de 2024, 15:37

Autor Tema:  Gimmiv@VULN  (Leído 1642 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Gimmiv@VULN
« en: Sábado 25 de Octubre de 2008, 15:35 »
0
Peligrosidad: 3 - Media  
Difusión: Baja
Fecha de Alta:24-10-2008
Última Actualización:24-10-2008
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:   
Alto
Nombre completo: Worm-Infostealer.W32/Gimmiv@VULN    
Tipo: [Worm-Infostealer] - Programa que se replica copiandose entero y además intenta robar información del usuario o del sistema.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red.
Tamaño (bytes): 336384
Alias:Troj/Gimmiv-A (Sophos), Win32/Gimmiv.A (Computer Associates), W32/Gimmiv.A (F-Secure), Win32.Worm.Gimmiv.A (Bit Defender), Spy-Agent.da (McAfee), Gimmiv.A (Panda Security), TSPY_GIMMIV.A (Trend Micro), TrojanSpy:Win32/Gimmiv.A (Microsoft), DLOADER.PWS.Trojan (Doctor Web)
Detalles

Método de Infección

Cuando Worm-InfoStealer.Win32/Gimmiv es ejecutado por primera vez, descarga de internet un fichero DLL y lo deja en la ruta:

    * %System%wbemsysmgr.dll

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

...y crea las siguientes entradas en el registro de windows para que dicha DLL se instale como un servicio, permitiéndole así ejecutarse en cada inicio de Windows:

Clave: HKLMSYSTEMCurrentControlSetServicessysmgr

Clave: HKLMSYSTEMCurrentControlSetServicessysmgrParameters

Valor: ServiceDll = %System%wbemsysmgr.dll

Valor: ServiceMain = "ServiceMainFunc"

Clave: HKLMSYSTEMCurrentControlSetServicessysmgr

Valor: DisplayName = "System Maintenance Service"

Valor: ErrorControl = 0

Valor: ObjectName = LocalSystem

Valor: Start = 0x00000002(2)

Valor: type = 0x00000110(272)

Clave: HKLMSYSTEMCurrentControlSetServicessysmgr

Valor: ImagePath = %SystemRoot%System32svchost.exe -k sysmgr

Nota: %SystemRoot% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.

Una vez hecho esto, el gusano elimina el fichero con el componente descargador y ejecuta el archivo de comandos por lotes:

    * %Temp%[NOMBRE_ALEATORIO].bat

Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto es C:Windowstemp (Windows 95/98/Me/XP), C:Winnttemp (Windows NT/2000) o C:documents and settings{nombre de usuario}local settingstemp (Windows XP).

Como síntoma de la infección, el gusano abre durante unos segundos la ventana de la línea de comandos y la vuelve a cerrar.

Como resultado del anterior servicio, el gusano se descarga el fichero:

    * %System%inetproc02x.cab

El cual contiene los siguientes ficheros:

    * sysmgr.dll
    * install.bat
    * syicon.dll
    * winbase.dll
    * winbaseInst.exe

Estos ficheros son extraídos y el fichero "install.bat" es ejecutado. Este fichero batch copia los ficheros que hay en fichero %System%inetproc02x.cab en el siguiente directorio:

    * %System%wbem

A continuación se ejecuta winbaseInst.exe, el cual crea un servicio con el nombre "Windows NT Baseline". Para ello crea las siguientes entradas en el registro de windows:

Clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBaseSvcParameters

Valor: Servicedll = %SystemDir%wbemwinbase.dll

Valor: Servicemain = servicemainfunc

Efectos

Gimmiv roba información sensible de la máquina comprometida del estilo de:

    * Versión de Windows que tiene instalado el sistema
    * Nombre de Usuario y contraseña de la máquina
    * Información del adaptador de red de la máquina
    * Programas instalados en el sistema
    * Parches instalados en el equipo
    *
    * Usuarios y contraseñas de aplicaciones tales como Internet Explorer, Outlook Express y MSN Messenger
    * Otros nombres de usuario y contraseñas obtenidos de la información almacenada en el registro de Windows.

Toda esta información es cifrada usando AES (Advanced Encryption Standard ) y enviada a un servidor remoto.

Este gusano también comprueba la presencia de las siguientes aplicaciones antivirus que puedan estar instaladas en el sistema y envía esta información a un sitio remoto:

    * BitDefender Antivirus
    * Jiangmin Antivirus
    * Kingsoft Internet Security
    * Kaspersky Antivirus
    * Microsoft's OneCare Protection
    * Rising Antivirus
    * Trend Micro

Para ello comprueba la existencia de las siguientes claves del registro:

    * HKLMSOFTWAREBitDefender
    * HKLMSOFTWAREJiangmin
    * HKLMSOFTWAREKasperskyLab
    * HKLMSOFTWAREKingsoft
    * HKLMSOFTWARESymantecPatchInstNIS
    * HKLMSOFTWAREMicrosoftOneCare Protection
    * HKLMSOFTWARErising
    * HKLMSOFTWARETrendMicro

También comprueba si el siguiente proceso se encuentra en ejecución:

    * avp.exe

Una vez que ha recabado esta información, la envía a la IP 59.106.145.58 usando la siguiente llamada:

    * http://59.106.145.58/test2.php?abc=1?def=2

Los dos parámetros 'abc=' y 'def=' son un numero que identifica el programa antivirus instalado y la versión del sistema operativo. Asi, por ejemplo, si se trata de un Windows XP y tiene el AVP instalado la llamada será abc=1 y def=2.

El gusano también se conecta con los siguientes sitios para descargarse nuevos componentes:

    * http://summertime.1gokurimu.com/icon.php
    * http://perlbody.t35.com/icon.php
    * http://doradora.atzend.com/icon.php
    * http://59.106.145.58

Como mencionábamos anteriormente, los nuevos componentes descargados son guardados en las siguientes rutas:

    * %System%wbemwinbase.dll
    * %System%wbembasesvc.dll
    * %System%wbemsyicon.dll

También descarga los siguientes ficheros no maliciosos:

    * %System Root%Documents and SettingsLocalServiceLocal SettingsTemporary Internet FileswinUpdate.exe
    * %User Profile%Local SettingsTempcmd.exe

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:Documents and Settings{- usuario_actual -} (Windows NT/2000/XP).

Método de Propagación

La componente de descarga de este gusano llega al sistema a través de la vulnerabilidad "de día 0" de Microsoft reportada en su boletín de seguridad MS08-067. Para más información acerca de esta vulnerabilidad, por favor, visite dicho boletín de seguridad:

    * Boletín de seguridad MS08-067 de Microsoft

Esta vulnerabilidad esta causada por un fallo en el servicio 'Servidor' de windows cuando recibe una petición RPC mal formada. Afecta a casi toda la familia de sistemas operativos Windows, con algunas diferencias. En Windows 2000, XP y 2003 un atacante podría explotar esta vulnerabilidad sin necesidad de un nombre de usuario y una contraseña. Sin embargo, en Windows Vista y Windows Server 2008 se requiere un nombre de usuario y una contraseña válidos.

El gusano consta de dos componentes distintos:

    * Un fichero descargador de 397312 bytes
    * Un fichero DLL de 336384 bytes que alberga las rutinas principales del gusano y que ya ha sido comentado anteriormente.

El primero de los dos ficheros mencionados aparece con un nombre variable, con el formato nX.exe (donde X es un número entero de un sólo dígito).

La mayor parte de las rutinas de propagación del gusano vienen implementadas en la DLL basesvc.dll. Para proceder a la propagación, el gusano prueba otras IPs de la misma red enviandoles una secuencia de bytes "abcde" o "12345". El gusano entonces intenta comprometer a las maquinas que encuentra disponibles enviándoles una petición RPC mal formada basándose en la vulnerabilidad anteriormente comentada.
El pasado son solo recuerdos, el futuro son solo sueños