Existe una posible infección cuando existe el siguiente archivo:
c:\windows\system32\drivers\svchost.exe
Note que está en la carpeta "drivers", ya que también existe un SVCHOST.EXE legítimo en la carpeta "system32", ¡no los confunda!
Análisis:
El gusano troyano virus es un archivo de 13,824 bytes.
Cuando se ejecuta, crea SVCHOST.EXE en la carpeta DRIVERS del sistema de Windows:
c:\windows\system32\drivers\svchost.exe
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Modifica o crea las siguientes entradas en el registro:
HKLM\System\CurrentControlSet
\Services\WksPatch
Esto hace que se autoejecute como un servicio (llamado WksPatch), en cada reinicio de Windows.
El nombre que despliega el servicio, es obtenido al azar de una combinación de tres listas de palabras:
[A]+[B]+[C]
Lista A:
Internet
License
Network
Performance
Remote
Routing
Security
System
Lista B:
Accounts
Event
Logging
Manager
Procedure
Lista C:
Client
Messaging
Provider
Sharing
Ejemplos: Licence Accounts Messaging, Remote Manager Client, etc.
Acciones:
El gusano crea un semáforo (mutex), para no ejecutarse a si mismo más de una vez al mismo tiempo:
WksPatch_Mutex
El gusano se aprovecha para propagarse, de cuatro conocidas vulnerabilidades, para las que existen parches desde hace casi siete meses:
Vulnerabilidad RPC/DCOM (MS03-026)
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
Vulnerabilidad en el Servicio Localizador (MS03-001)
MS03-049 Falla en servicio Estación de Trabajo (828749)
El gusano genera direcciones IP al azar, y envía a cada una de ellas sus datos, por el puerto TCP/135 (para explotar la vulnerabilidad RPC/DCOM), al puerto TCP/80 para explotar la vulnerabilidad en el componente WebDav del IIS. También lo hace al puerto TCP/139 y 445 para explotar un fallo en el servicio "Estación de Trabajo".
De acuerdo al sistema operativo instalado, el gusano intenta descargar y ejecutar algunos parches para la vulnerabilidad RPC/DCOM vista antes. Esto solo funciona si se tiene una versión de Windows en Chino, Coreano, Japonés o Inglés. Con las versiones en español, el gusano no ejecuta esta rutina.
Si logra descargar e instalar el parche, reinicia el sistema.
Luego, intentará eliminar archivos del gusano Mydoom, si algunos de los mismos estuvieran instalados.
También sobrescribe el archivo HOSTS con el siguiente texto (repara la posible acción de otro gusano):
#
#
127.0.0.1 localhost
Instala y ejecuta un servidor Web en un puerto TCP al azar, para que los sistemas vulnerables puedan descargar y ejecutar el archivo WKSPATCH.EXE desde una máquina remota.
Si el sistema operativo está en japonés, y se está ejecutando un servidor IIS en la máquina infectada, el gusano busca archivos con las siguientes extensiones en el servidor IIS:
.asp
.cgi
.htm
.html
.php
.shtm
.shtml
.stm
Luego, sobrescribe los archivos que encuentre con un código HTML que contiene el siguiente texto:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
El gusano funcionaría hasta el 1 de julio de 2004, o durante 140 días después de su primera ejecución (lo que ocurra primero). |
