El gusano es un archivo de 28,008 bytes (PEtite), que luego libera un DLL de 23,040 bytes (UPX).
Puede llegar en un mensaje como el siguiente:
De: [remitente falso]
Cualquier dirección de las obtenidas por el gusano en la máquina infectada.
Asunto: [uno de los siguientes]
Deliver Mail [dirección destinatario]
Delivered Message [dirección destinatario]
Delivery [dirección destinatario]
Delivery Bot [dirección destinatario]
Delivery Error [dirección destinatario]
Delivery Failed [dirección destinatario]
Delivery Failure [dirección destinatario]
Error [dirección destinatario]
Failed [dirección destinatario]
Failure [dirección destinatario]
Mail Delivery failure [dirección destinatario]
Mail Delivery System [dirección destinatario]
Mail System [dirección destinatario]
Server Error [dirección destinatario]
Status [dirección destinatario]
Unknown Exception [dirección destinatario]
Ejemplo:
Deliver Mail ana@dominio.com
Failure juan@dominio.com
Texto del mensaje: [1]+[2]+[3]+[4]
Donde [1] es una de las siguientes líneas:
Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn"t be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn"t be represented
Mail Delivery Failure - This mail couldn"t be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn"t be converted
[2] es lo siguiente:
------------- failed message -------------
[más caracteres al azar]
[3] es uno de los siguientes textos:
Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a
binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.
Y finalmente [4] es lo siguiente:
Or you can view the message at:
www.[dominio]/inmail/[usuario]/mread.php?
sessionid-[número al azar]
Donde [dominio] es el dominio de la dirección del destinatario (lo que va después de la arroba), y [usuario] el nombre de la cuenta:
[usuario]@[dominio]
Datos adjuntos: [1]+[2]+[3]
Donde [1] es uno de los siguientes elementos:
data
mail
msg
message
[2] son varios números al azar y [3] es la extensión .PIF o .ZIP. En ocasiones no se agrega el elemento [2].
Si el adjunto es un archivo comprimido (.ZIP), el nombre del archivo que contiene puede ser uno de los siguientes:
data.eml[100 espacios vacíos].scr
mail.eml[100 espacios vacíos].scr
msg.eml[100 espacios vacíos].scr
message.eml[100 espacios vacíos].scr
Los 100 espacios vacíos esconden la verdadera extensión de los archivos, ya que la misma queda oculta en la ventana que los muestra.
El gusano se vale de una antigua vulnerabilidad del Internet Explorer (5.x), que permite que se ejecute el adjunto por solo leer el mensaje o verlo en la vista previa (MIME header vulnerability). Ver http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\sysmonxp.exe
c:\windows\firewalllogger.txt
El .EXE llama al falso archivo .TXT (en realidad es un .DLL), el cuál incluye una sola función, y lo ejecuta.
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
SysMonXP = c:\windows\sysmonxp.exe
Acciones:
Para propagarse, el gusano busca direcciones de correo en todas las unidades de disco disponibles (excepto unidades de CD), dentro de archivos con las siguientes extensiones:
.a
.ad
.adb
.as
.asp
.c
.cf
.cfg
.cg
.cgi
.d
.db
.dbx
.dh
.dht
.dhtm
.do
.doc
.e
.em
.eml
.h
.ht
.htm
.html
.j
.js
.jsp
.m
.mb
.mbx
.md
.mdx
.mh
.mht
.mm
.mmf
.ms
.msg
.n
.nc
.nch
.o
.od
.ods
.of
.oft
.p
.ph
.php
.pl
.pp
.ppt
.r
.rt
.rtf
.s
.sh
.sht
.shtm
.st
.stm
.t
.tb
.tbb
.tx
.txt
.u
.ui
.uin
.v
.vb
.vbs
.w
.wa
.wab
.ws
.wsh
.x
.xl
.xls
.xm
.xml
Cuando detecta una conexión a Internet establecida, el gusano comienza a enviarse a si mismo a todas las direcciones encontradas, en mensajes como los ya descriptos. Utiliza su propio motor SMTP y realiza consultas al servidor DNS de la instalación actual del usuario infectado.
Evita enviarse a direcciones que contengan estas cadenas:
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
El gusano intenta borrar las entradas en el registro de otros gusanos.
En un hilo de ejecución independiente, el gusano examina la fecha y hora actual del sistema. Si se está ejecutando a las 5:11 de la mañana del 30 de marzo, emitirá varios sonidos por el altavoz del sistema.
Los días 8, 9, 10 y 11 de abril de 2004, intentará ataques de denegación de servicio a los siguientes sitios:
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cracks.am
www.cracks.st
Si el nombre del archivo no es SYSMONXP.EXE (por ejemplo, es el nombre del adjunto), el gusano abre el bloc de notas al ejecutarse (NOTEPAD.EXE), e intenta mostrar un archivo de texto llamado TEMP.EML, que no existe.
Crea un mutex llamado "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_" para no ejecutarse más de una vez en memoria. |
