Información extraida de
Alerta AntivirusPeligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:20-04-2009
Última Actualización:20-04-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Sality.AM@US
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Tamaño (bytes): 69632
Alias:W32.Sality.AM (Symantec), W32.Sality.AM (PerAntivirus)
Detalles
Método de Infección
Al infectar el sistema, el gusano se copia a:
* %System%drivers[Nombre_aleatorio].sys
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
El archivo .SYS es ejecutado como un servicio con el siguiente nombre e inmediatamente despues es borrado:
* abp470n5
El servicio recién iniciado actúa como un filtro en el servicio IPFILTERDRIVER (Firewall de Windows Vista) y monitoriza la red en busca de paquetes con cualquiera de las siguientes cadenas:
* upload_virus
* sality-remov
* virusinfo.
* cureit.
* drweb.
* onlinescan.
* spywareinfo.
* ewido.
* virusscan.
* windowsecurity.
* spywareguide.
* bitdefender.
* pandasoftware.
* agnmitum.
* virustotal.
* sophos.
* trendmicro.
* etrust.com
* symantec.
* mcafee.
* f-secure.
* eset.com
* kaspersky
* aPvo
Luego crea las siguientes entradas de registro:
Clave:HKEY_CURRENT_USERSoftware[Caracteres_aleatorios]
Valor:"V[Número]_[3_números_aleatorios]" = [Valor _aleatorio]
Clave:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
Valor:"GlobalUserOffline" = "0"
Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingFWCFG
Valor:"ConsoleTracingMask" = "4294901760"
Valor:"EnableConsoleTracing" = "0"
Valor:"EnableFileTracing" = "0"
Valor:"FileDirectory" = "%Windir%tracing"
Valor:"FileTracingMask" = "4294901760"
Valor:"MaxFileSize" = "1048576"
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:Windows (Windows 95/98/Me/XP) o C:Winnt (Windows NT/2000).
Para cambiar las configuraciones de seguridad del sistema altera las entradas en las llaves:
Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterSvc
Valor:"FirewallDisableNotify" = "1"
Valor:"FirewallOverride" = "1"
Valor:"UacDisableNotify" = "1"
Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center
Valor:"UacDisableNotify" = "1"
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
Valor:"DoNotAllowExceptions" = "0"
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
AuthorizedApplicationsList
Valor:"%SystemDrive%[Nombre_original_de_archivo].exe" = "%SystemDrive%[Nombre_original_de_archivo].exe:*:Enabled:ipsec"
Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.
Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
AuthorizedApplicationsList
Valor:"%Windir%Explorer.EXE" = "%Windir%Explorer.EXE:*:Enabled:ipsec"
Borra las entradas de registro en las subclaves:
Clave:HKEY_CURRENT_USERSystemCurrentControlSetControlSafeBoot
Clave:HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionExtStats
Clave:HKEY_LOCAL_MACHINE\SoftwareMicrosoftWindowsCurrentVersionExtStats
Clave:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
Seguidamente busca las siguientes subclaves e infecta todos los archivos vinculados:
Clave:HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
Clave:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Clave:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Efectos
El gusano detiene los servicios que tengan alguna de las siguientes cadenas:
* aswMon2
* Agnitum Client Security Service
* ALG
* Amon monitor
* aswUpdSv
* aswRdr
* aswSP
* aswTdi
* aswFsBlk
* acssrv
* AV Engine
* avast! iAVS4 Control Service
* avast! Antivirus
* avast! Mail Scanner
* avast! Web Scanner
* avast! Asynchronous Virus Monitor
* avast! Self Protection
* AVG E-mail Scanner
* Avira AntiVir Premium Guard
* Avira AntiVir Premium WebGuard
* Avira AntiVir Premium MailGuard
* avp1
* BackWeb Plug-in - 4476822
* bdss
* BGLiveSvc
* BlackICE
* CAISafe
* ccEvtMgr
* ccProxy
* ccSetMgr
* COMODO Firewall Pro Sandbox Driver
* cmdGuard
* cmdAgent
* Eset Service
* Eset HTTP Server
* Eset Personal Firewall
* F-Prot Antivirus Update Monitor
* fsbwsys
* FSDFWD
* F-Secure Gatekeeper Handler Starter
* FSMA
* Google Online Services
* InoRPC
* InoRT
* InoTask
* ISSVC
* KPF4
* KLIF
* LavasoftFirewall
* LIVESRV
* McAfeeFramework
* McShield
* McTaskManager
* navapsvc
* NOD32krn
* NPFMntor
* NSCService
* Outpost Firewall main module
* OutpostFirewall
* PAVFIRES
* PAVFNSVR
* PavProt
* PavPrSrv
* PAVSRV
* PcCtlCom
* PersonalFirewal
* PREVSRV
* ProtoPort Firewall service
* PSIMSVC
* RapApp
* SmcService
* SNDSrvc
* SPBBCSvc
* SpIDer FS Monitor for Windows NT
* SpIDer Guard File System Monitor
* SPIDERNT
* Symantec Core LC
* Symantec Password Validation
* Symantec AntiVirus Definition Watcher
* SavRoam
* Symantec AntiVirus
* Tmntsrv
* TmPfw
* tmproxy
* tcpsr
* UmxAgent
* UmxCfg
* UmxLU
* UmxPol
* vsmon
* VSSERV
* WebrootDesktopFirewallDataService
* WebrootFirewall
* XCOMM
* AVP
Y detiene los procesos con las siguientes cadenas:
* _AVPM.
* A2GUARD.
* AAVSHIELD.
* AVAST
* ADVCHK.
* AHNSD.
* AIRDEFENSE
* ALERTSVC
* ALOGSERV
* ALSVC.
* AMON.
* ANTI-TROJAN.
* AVZ.
* ANTIVIR
* APVXDWIN.
* ARMOR2NET.
* ASHAVAST.
* ASHDISP.
* ASHENHCD.
* ASHMAISV.
* ASHPOPWZ.
* ASHSERV.
* ASHSIMPL.
* ASHSKPCK.
* ASHWEBSV.
* ASWUPDSV.
* ATCON.
* ATUPDATER.
* ATWATCH.
* AVCIMAN.
* AVCONSOL.
* AVENGINE.
* AVESVC.
* AVGAMSVR.
* AVGCC.
* AVGCC32.
* AVGCTRL.
* AVGEMC.
* AVGFWSRV.
* AVGNT.
* AVGNTDD
* AVGNTMGR
* AVGSERV.
* AVGUARD.
* AVGUPSVC.
* AVINITNT.
* AVKSERV.
* AVKSERVICE.
* AVKWCTL.
* AVP.
* AVP32.
* AVPCC.
* AVPM.
* AVAST
* AVSERVER.
* AVSCHED32.
* AVSYNMGR.
* AVWUPD32.
* AVWUPSRV.
* AVXMONITOR9X.
* AVXMONITORNT.
* AVXQUAR.
* BDMCON.
* BDNEWS.
* BDSUBMIT.
* BDSWITCH.
* BLACKD.
* BLACKICE.
* CAFIX.
* CCAPP.
* CCEVTMGR.
* CCPROXY.
* CCSETMGR.
* CFIAUDIT.
* CLAMTRAY.
* CLAMWIN.
* CLAW95.
* CUREIT
* DEFWATCH.
* DRVIRUS.
* DRWADINS.
* DRWEB32W.
* DRWEBSCD.
* DRWEBUPW.
* DWEBLLIO
* DWEBIO
* ESCANH95.
* ESCANHNT.
* EWIDOCTRL.
* EZANTIVIRUSREGISTRATIONCHECK.
* F-AGNT95.
* FAMEH32.
* FILEMON
* FIRESVC.
* FIRETRAY.
* FIREWALL.
* FPAVUPDM.
* F-PROT95.
* FRESHCLAM.
* EKRN.
* FSAV32.
* FSAVGUI.
* FSBWSYS.
* F-SCHED.
* FSDFWD.
* FSGK32.
* FSGK32ST.
* FSGUIEXE.
* FSMA32.
* FSMB32.
* FSPEX.
* FSSM32.
* F-STOPW.
* GCASDTSERV.
* GCASSERV.
* GIANTANTISPYWAREMAIN.
* GIANTANTISPYWAREUPDATER.
* GUARDGUI.
* GUARDNT.
* HREGMON.
* HRRES.
* HSOCKPE.
* HUPDATE.
* IAMAPP.
* IAMSERV.
* ICLOAD95.
* ICLOADNT.
* ICMON.
* ICSSUPPNT.
* ICSUPP95.
* ICSUPPNT.
* IFACE.
* INETUPD.
* INOCIT.
* INORPC.
* INORT.
* INOTASK.
* INOUPTNG.
* IOMON98.
* ISAFE.
* ISATRAY.
* ISRV95.
* ISSVC.
* KAV.
* KAVMM.
* KAVPF.
* KAVPFW.
* KAVSTART.
* KAVSVC.
* KAVSVCUI.
* KMAILMON.
* KPFWSVC.
* MCAGENT.
* MCMNHDLR.
* MCREGWIZ.
* MCUPDATE.
* MCVSSHLD.
* MINILOG.
* MYAGTSVC.
* MYAGTTRY.
* NAVAPSVC.
* NAVAPW32.
* NAVLU32.
* NAVW32.
* NEOWATCHLOG.
* NEOWATCHTRAY.
* NISSERV
* NISUM.
* NMAIN.
* NOD32
* NORMIST.
* NOTSTART.
* NPAVTRAY.
* NPFMNTOR.
* NPFMSG.
* NPROTECT.
* NSCHED32.
* NSMDTR.
* NSSSERV.
* NSSTRAY.
* NTRTSCAN.
* NTOS.
* NTXCONFIG.
* NUPGRADE.
* NVCOD.
* NVCTE.
* NVCUT.
* NWSERVICE.
* OFCPFWSVC.
* OUTPOST
* OP_MON.
* PAVFIRES.
* PAVFNSVR.
* PAVKRE.
* PAVPROT.
* PAVPROXY.
* PAVPRSRV.
* PAVSRV51.
* PAVSS.
* PCCGUIDE.
* PCCIOMON.
* PCCNTMON.
* PCCPFW.
* PCCTLCOM.
* PCTAV.
* PERSFW.
* PERTSK.
* PERVAC.
* PNMSRV.
* POP3TRAP.
* POPROXY.
* PREVSRV.
* PSIMSVC.
* QHM32.
* QHONLINE.
* QHONSVC.
* QHPF.
* QHWSCSVC.
* RAVMON.
* RAVTIMER.
* AVGNT
* AVCENTER.
* RFWMAIN.
* RTVSCAN.
* RTVSCN95.
* RULAUNCH.
* SALITY
* SAVADMINSERVICE.
* SAVMAIN.
* SAVPROGRESS.
* SAVSCAN.
* SCANNINGPROCESS.
* CUREIT
* SDHELP.
* SHSTAT.
* SITECLI.
* SPBBCSVC.
* SPHINX.
* SPIDERCPL.
* SPIDERML.
* SPIDERNT.
* SPIDERUI.
* SPYBOTSD.
* SPYXX.
* SS3EDIT.
* STOPSIGNAV.
* SWAGENT.
* SWDOCTOR.
* SWNETSUP.
* SYMLCSVC.
* SYMPROXYSVC.
* SYMSPORT.
* SYMWSC.
* SYNMGR.
* TAUMON.
* TBMON.
* AVAST
* TFAK.
* THAV.
* THSM.
* TMAS.
* TMLISTEN.
* TMNTSRV.
* TMPFW.
* TMPROXY.
* TNBUTIL.
* TRJSCAN.
* UP2DATE.
* VBA32ECM.
* VBA32IFS.
* VBA32LDR.
* VBA32PP3.
* VBSNTW.
* VCHK.
* VCRMON.
* VETTRAY.
* VIRUSKEEPER.
* VPTRAY.
* VRFWSVC.
* VRMONNT.
* VRMONSVC.
* VRRW32.
* VSECOMR.
* VSHWIN32.
* VSMON.
* VSSERV.
* VSSTAT.
* WATCHDOG.
* WEBPROXY.
* WEBSCANX.
* WEBTRAP.
* WGFE95.
* WINAW32.
* WINROUTE.
* WINSS.
* WINSSNOTIFY.
* WRCTRL.
* XCOMMSVR.
* ZAUINST
* ZLCLIENT
* ZONEALARM
El gusano también termina determinados procesos que cargan los siguientes módulos en memoria:
* DWEBLLIO
* DWEBIO
... y borra los archivos que tengas las cadenas:
* VDB
* AVC
* KEY
Finalmente, para poder descargar instrucciones o malwares en los sistemas infectados el gusano verifica los siguientes dominios:
*
http://www.hotelkalingaindore.com/logo[XXXXX] --> ubicado en la India
*
http://www.lasercareindia.com/main[XXXXXX] --> ubicado en la India
Estos sitios han sido comprometidos y el autor o autores de este gusano les han insertado archivos arbitrarios.
Método de Propagación
El gusano enumera los recursos de la red local (LAN) usando el API WNetOpenEnumA. En caso de hallarlos busca los archivos ejecutables y los infecta.
Verifica las unidades de almacenamiento removibles y les copia un archivo infectado notepad.exe o winmime.exe con uno de los siguientes nombres:
* [Nombre_aleatorio].exe
* [Nombre_aleatorio].cmd
* [Nombre_aleatorio].pif
Crea un archivo autorun.inf para ejecutar el gusano cada vez que se inserte una unidad de almacenamiento extraíble en otro equipo.
El gusano evita infectar archivos que contengan las siguientes cadenas:
* _AVPM.
* A2GUARD.
* AAVSHIELD.
* AVAST
* ADVCHK.
* AHNSD.
* AIRDEFENSE
* ALERTSVC
* ALOGSERV
* ALSVC.
* AMON.
* ANTI-TROJAN.
* AVZ.
* ANTIVIR
* APVXDWIN.
* ARMOR2NET.
* ASHAVAST.
* ASHDISP.
* ASHENHCD.
* ASHMAISV.
* ASHPOPWZ.
* ASHSERV.
* ASHSIMPL.
* ASHSKPCK.
* ASHWEBSV.
* ASWUPDSV.
* ATCON.
* ATUPDATER.
* ATWATCH.
* AVCIMAN.
* AVCONSOL.
* AVENGINE.
* AVESVC.
* AVGAMSVR.
* AVGCC.
* AVGCC32.
* AVGCTRL.
* AVGEMC.
* AVGFWSRV.
* AVGNT.
* AVGNTDD
* AVGNTMGR
* AVGSERV.
* AVGUARD.
* AVGUPSVC.
* AVINITNT.
* AVKSERV.
* AVKSERVICE.
* AVKWCTL.
* AVP.
* AVP32.
* AVPCC.
* AVPM.
* AVAST
* AVSERVER.
* AVSCHED32.
* AVSYNMGR.
* AVWUPD32.
* AVWUPSRV.
* AVXMONITOR9X.
* AVXMONITORNT.
* AVXQUAR.
* BDMCON.
* BDNEWS.
* BDSUBMIT.
* BDSWITCH.
* BLACKD.
* BLACKICE.
* CAFIX.
* CCAPP.
* CCEVTMGR.
* CCPROXY.
* CCSETMGR.
* CFIAUDIT.
* CLAMTRAY.
* CLAMWIN.
* CLAW95.
* CUREIT
* DEFWATCH.
* DRVIRUS.
* DRWADINS.
* DRWEB32W.
* DRWEBSCD.
* DRWEBUPW.
* DWEBLLIO
* DWEBIO
* ESCANH95.
* ESCANHNT.
* EWIDOCTRL.
* EZANTIVIRUSREGISTRATIONCHECK.
* F-AGNT95.
* FAMEH32.
* FILEMON
* FIRESVC.
* FIRETRAY.
* FIREWALL.
* FPAVUPDM.
* F-PROT95.
* FRESHCLAM.
* EKRN.
* FSAV32.
* FSAVGUI.
* FSBWSYS.
* F-SCHED.
* FSDFWD.
* FSGK32.
* FSGK32ST.
* FSGUIEXE.
* FSMA32.
* FSMB32.
* FSPEX.
* FSSM32.
* F-STOPW.
* GCASDTSERV.
* GCASSERV.
* GIANTANTISPYWAREMAIN.
* GIANTANTISPYWAREUPDATER.
* GUARDGUI.
* GUARDNT.
* HREGMON.
* HRRES.
* HSOCKPE.
* HUPDATE.
* IAMAPP.
* IAMSERV.
* ICLOAD95.
* ICLOADNT.
* ICMON.
* ICSSUPPNT.
* ICSUPP95.
* ICSUPPNT.
* IFACE.
* INETUPD.
* INOCIT.
* INORPC.
* INORT.
* INOTASK.
* INOUPTNG.
* IOMON98.
* ISAFE.
* ISATRAY.
* ISRV95.
* ISSVC.
* KAV.
* KAVMM.
* KAVPF.
* KAVPFW.
* KAVSTART.
* KAVSVC.
* KAVSVCUI.
* KMAILMON.
* KPFWSVC.
* MCAGENT.
* MCMNHDLR.
* MCREGWIZ.
* MCUPDATE.
* MCVSSHLD.
* MINILOG.
* MYAGTSVC.
* MYAGTTRY.
* NAVAPSVC.
* NAVAPW32.
* NAVLU32.
* NAVW32.
* NEOWATCHLOG.
* NEOWATCHTRAY.
* NISSERV
* NISUM.
* NMAIN.
* NOD32
* NORMIST.
* NOTSTART.
* NPAVTRAY.
* NPFMNTOR.
* NPFMSG.
* NPROTECT.
* NSCHED32.
* NSMDTR.
* NSSSERV.
* NSSTRAY.
* NTRTSCAN.
* NTOS.
* NTXCONFIG.
* NUPGRADE.
* NVCOD.
* NVCTE.
* NVCUT.
* NWSERVICE.
* OFCPFWSVC.
* OUTPOST
* OP_MON.
* PAVFIRES.
* PAVFNSVR.
* PAVKRE.
* PAVPROT.
* PAVPROXY.
* PAVPRSRV.
* PAVSRV51.
* PAVSS.
* PCCGUIDE.
* PCCIOMON.
* PCCNTMON.
* PCCPFW.
* PCCTLCOM.
* PCTAV.
* PERSFW.
* PERTSK.
* PERVAC.
* PNMSRV.
* POP3TRAP.
* POPROXY.
* PREVSRV.
* PSIMSVC.
* QHM32.
* QHONLINE.
* QHONSVC.
* QHPF.
* QHWSCSVC.
* RAVMON.
* RAVTIMER.
* AVGNT
* AVCENTER.
* RFWMAIN.
* RTVSCAN.
* RTVSCN95.
* RULAUNCH.
* SALITY
* SAVADMINSERVICE.
* SAVMAIN.
* SAVPROGRESS.
* SAVSCAN.
* SCANNINGPROCESS.
* CUREIT
* SDHELP.
* SHSTAT.
* SITECLI.
* SPBBCSVC.
* SPHINX.
* SPIDERCPL.
* SPIDERML.
* SPIDERNT.
* SPIDERUI.
* SPYBOTSD.
* SPYXX.
* SS3EDIT.
* STOPSIGNAV.
* SWAGENT.
* SWDOCTOR.
* SWNETSUP.
* SYMLCSVC.
* SYMPROXYSVC.
* SYMSPORT.
* SYMWSC.
* SYNMGR.
* TAUMON.
* TBMON.
* AVAST
* TFAK.
* THAV.
* THSM.
* TMAS.
* TMLISTEN.
* TMNTSRV.
* TMPFW.
* TMPROXY.
* TNBUTIL.
* TRJSCAN.
* UP2DATE.
* VBA32ECM.
* VBA32IFS.
* VBA32LDR.
* VBA32PP3.
* VBSNTW.
* VCHK.
* VCRMON.
* VETTRAY.
* VIRUSKEEPER.
* VPTRAY.
* VRFWSVC.
* VRMONNT.
* VRMONSVC.
* VRRW32.
* VSECOMR.
* VSHWIN32.
* VSMON.
* VSSERV.
* VSSTAT.
* WATCHDOG.
* WEBPROXY.
* WEBSCANX.
* WEBTRAP.
* WGFE95.
* WINAW32.
* WINROUTE.
* WINSS.
* WINSSNOTIFY.
* WRCTRL.
* XCOMMSVR.
* ZAUINST
* ZLCLIENT
* ZONEALARM
Y agrega la siguiente entrada al archivo %Windir%system.ini:
[MCIDRV_VER]
Otros Detalles
El gusano infecta Windows 98/Me/NT/2000/XP/Vista y Server 2003 desarrollado en ensamblador con una extensión de 69,632 bytes y esta cifrado con rutinas propias.
