SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Sábado 25 de Octubre de 2008, 15:35
-
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:24-10-2008
Última Actualización:24-10-2008
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:
Alto
Nombre completo: Worm-Infostealer.W32/Gimmiv@VULN
Tipo: [Worm-Infostealer] - Programa que se replica copiandose entero y además intenta robar información del usuario o del sistema.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red.
Tamaño (bytes): 336384
Alias:Troj/Gimmiv-A (Sophos), Win32/Gimmiv.A (Computer Associates), W32/Gimmiv.A (F-Secure), Win32.Worm.Gimmiv.A (Bit Defender), Spy-Agent.da (McAfee), Gimmiv.A (Panda Security), TSPY_GIMMIV.A (Trend Micro), TrojanSpy:Win32/Gimmiv.A (Microsoft), DLOADER.PWS.Trojan (Doctor Web)
Detalles
Método de Infección
Cuando Worm-InfoStealer.Win32/Gimmiv es ejecutado por primera vez, descarga de internet un fichero DLL y lo deja en la ruta:
* %System%wbemsysmgr.dll
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
...y crea las siguientes entradas en el registro de windows para que dicha DLL se instale como un servicio, permitiéndole así ejecutarse en cada inicio de Windows:
Clave: HKLMSYSTEMCurrentControlSetServicessysmgr
Clave: HKLMSYSTEMCurrentControlSetServicessysmgrParameters
Valor: ServiceDll = %System%wbemsysmgr.dll
Valor: ServiceMain = "ServiceMainFunc"
Clave: HKLMSYSTEMCurrentControlSetServicessysmgr
Valor: DisplayName = "System Maintenance Service"
Valor: ErrorControl = 0
Valor: ObjectName = LocalSystem
Valor: Start = 0x00000002(2)
Valor: type = 0x00000110(272)
Clave: HKLMSYSTEMCurrentControlSetServicessysmgr
Valor: ImagePath = %SystemRoot%System32svchost.exe -k sysmgr
Nota: %SystemRoot% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.
Una vez hecho esto, el gusano elimina el fichero con el componente descargador y ejecuta el archivo de comandos por lotes:
* %Temp%[NOMBRE_ALEATORIO].bat
Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto es C:Windowstemp (Windows 95/98/Me/XP), C:Winnttemp (Windows NT/2000) o C:documents and settings{nombre de usuario}local settingstemp (Windows XP).
Como síntoma de la infección, el gusano abre durante unos segundos la ventana de la línea de comandos y la vuelve a cerrar.
Como resultado del anterior servicio, el gusano se descarga el fichero:
* %System%inetproc02x.cab
El cual contiene los siguientes ficheros:
* sysmgr.dll
* install.bat
* syicon.dll
* winbase.dll
* winbaseInst.exe
Estos ficheros son extraídos y el fichero "install.bat" es ejecutado. Este fichero batch copia los ficheros que hay en fichero %System%inetproc02x.cab en el siguiente directorio:
* %System%wbem
A continuación se ejecuta winbaseInst.exe, el cual crea un servicio con el nombre "Windows NT Baseline". Para ello crea las siguientes entradas en el registro de windows:
Clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBaseSvcParameters
Valor: Servicedll = %SystemDir%wbemwinbase.dll
Valor: Servicemain = servicemainfunc
Efectos
Gimmiv roba información sensible de la máquina comprometida del estilo de:
* Versión de Windows que tiene instalado el sistema
* Nombre de Usuario y contraseña de la máquina
* Información del adaptador de red de la máquina
* Programas instalados en el sistema
* Parches instalados en el equipo
*
* Usuarios y contraseñas de aplicaciones tales como Internet Explorer, Outlook Express y MSN Messenger
* Otros nombres de usuario y contraseñas obtenidos de la información almacenada en el registro de Windows.
Toda esta información es cifrada usando AES (Advanced Encryption Standard ) y enviada a un servidor remoto.
Este gusano también comprueba la presencia de las siguientes aplicaciones antivirus que puedan estar instaladas en el sistema y envía esta información a un sitio remoto:
* BitDefender Antivirus
* Jiangmin Antivirus
* Kingsoft Internet Security
* Kaspersky Antivirus
* Microsoft's OneCare Protection
* Rising Antivirus
* Trend Micro
Para ello comprueba la existencia de las siguientes claves del registro:
* HKLMSOFTWAREBitDefender
* HKLMSOFTWAREJiangmin
* HKLMSOFTWAREKasperskyLab
* HKLMSOFTWAREKingsoft
* HKLMSOFTWARESymantecPatchInstNIS
* HKLMSOFTWAREMicrosoftOneCare Protection
* HKLMSOFTWARErising
* HKLMSOFTWARETrendMicro
También comprueba si el siguiente proceso se encuentra en ejecución:
* avp.exe
Una vez que ha recabado esta información, la envía a la IP 59.106.145.58 usando la siguiente llamada:
* http://59.106.145.58/test2.php?abc=1?def=2 (http://59.106.145.58/test2.php?abc=1?def=2" onclick="window.open(this.href);return false;)
Los dos parámetros 'abc=' y 'def=' son un numero que identifica el programa antivirus instalado y la versión del sistema operativo. Asi, por ejemplo, si se trata de un Windows XP y tiene el AVP instalado la llamada será abc=1 y def=2.
El gusano también se conecta con los siguientes sitios para descargarse nuevos componentes:
* http://summertime.1gokurimu.com/icon.php (http://summertime.1gokurimu.com/icon.php" onclick="window.open(this.href);return false;)
* http://perlbody.t35.com/icon.php (http://perlbody.t35.com/icon.php" onclick="window.open(this.href);return false;)
* http://doradora.atzend.com/icon.php (http://doradora.atzend.com/icon.php" onclick="window.open(this.href);return false;)
* http://59.106.145.58 (http://59.106.145.58" onclick="window.open(this.href);return false;)
Como mencionábamos anteriormente, los nuevos componentes descargados son guardados en las siguientes rutas:
* %System%wbemwinbase.dll
* %System%wbembasesvc.dll
* %System%wbemsyicon.dll
También descarga los siguientes ficheros no maliciosos:
* %System Root%Documents and SettingsLocalServiceLocal SettingsTemporary Internet FileswinUpdate.exe
* %User Profile%Local SettingsTempcmd.exe
Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:Documents and Settings{- usuario_actual -} (Windows NT/2000/XP).
Método de Propagación
La componente de descarga de este gusano llega al sistema a través de la vulnerabilidad "de día 0" de Microsoft reportada en su boletín de seguridad MS08-067. Para más información acerca de esta vulnerabilidad, por favor, visite dicho boletín de seguridad:
* Boletín de seguridad MS08-067 de Microsoft
Esta vulnerabilidad esta causada por un fallo en el servicio 'Servidor' de windows cuando recibe una petición RPC mal formada. Afecta a casi toda la familia de sistemas operativos Windows, con algunas diferencias. En Windows 2000, XP y 2003 un atacante podría explotar esta vulnerabilidad sin necesidad de un nombre de usuario y una contraseña. Sin embargo, en Windows Vista y Windows Server 2008 se requiere un nombre de usuario y una contraseña válidos.
El gusano consta de dos componentes distintos:
* Un fichero descargador de 397312 bytes
* Un fichero DLL de 336384 bytes que alberga las rutinas principales del gusano y que ya ha sido comentado anteriormente.
El primero de los dos ficheros mencionados aparece con un nombre variable, con el formato nX.exe (donde X es un número entero de un sólo dígito).
La mayor parte de las rutinas de propagación del gusano vienen implementadas en la DLL basesvc.dll. Para proceder a la propagación, el gusano prueba otras IPs de la misma red enviandoles una secuencia de bytes "abcde" o "12345". El gusano entonces intenta comprometer a las maquinas que encuentra disponibles enviándoles una petición RPC mal formada basándose en la vulnerabilidad anteriormente comentada.