Win32.Atak.B : UN NUEVO VIRUS CON UNAS CARACTERÍSTICAS MUY ESPECIALES

Nombre: Win32.Atak.B@mm
Alias: n/a

Tipo: Win32 Mass Mailer, Worm
Tamaño: 29149 bytes (empaquetado con FSG 2.0)
Descubierto: 15.07.2004
Detectado: 15.07.2004
Propagación: Media
Peligrosidad: Bajo

Síntomas
Presencia del archivo SVRHOST.EXE en el directorio %system% (por ejemplo C:WindowsSystem32) y en la lista de procesos.

En Windows 2000/XP/2003 la clave de registro «HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionwindows» contiene la cadena «load» que apunta a «%system%SVRHOST.EXE».

En Windows 9x/ME el archivo «%windir%win.ini» contiene:
[windows]
load=%system%svrhost.exe

Descripción Técnica
Este gusano es un típico “mass-mailer” (enviador masivo) que se propaga a través de archivos adjuntos infectados con nombres de doble extensión. Básicamente opera como su variante anterior, excepto que realiza más acciones.

Cuando se inicia Atak.B comprueba si es ejecutado desde %system%SVRHOST.EXE y sino, se copia en esa ubicación y se ejecuta la nueva copia.

Entonces intenta crear el mutex «SloperV2mtx-e-Machine» para evitar que dos procesos duplicados actúen simultáneamente, y realiza el chuequeo “anti-debugging” (anti-depuración).

Si el proceso está siendo depurado por un debugger, el gusano abre una ventana con el siguiente texto «lol! try to dig me?» y se cierra.

En Windows 9x/ME el gusano se registra a sí mismo como un servicio, y a partir de entonces no aparece en la lista de procesos.

También en ese momento crea un proceso que actúa como un backdoor (puerta trasera) en todos los puertos del rango 1000 – 1015 (ambos incluidos) usándolos para que un atacante pueda enviar y ejecutar cualquier programa.

Después, el gusano intenta cerrar el impresionante número de 596 procesos que encuentre activos, llamados: DRVDDLL.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ADAWARE.EXE, ADVXDWIN.EXE, AGENTSVR.EXE, AGENTW.EXE, ALERTSVC.EXE, ALEVIR.EXE, ALOGSERV.EXE, AMON9X.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ARR.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATWATCH.EXE, AU.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTO-PROTECT.NAV80TRY.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCC32.EXE, AVGCTRL.EXE, AVGNT.EXE, AVGSERV.EXE, AVGSERV9.EXE, AVGUARD.EXE, AVGW.EXE, AVKPOP.EXE, AVKSERV.EXE, AVKSERVICE.EXE, AVKWCTl9.EXE, AVLTMAIN.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVSYNMGR.EXE, AVWIN95.EXE, AVWINNT.EXE, AVWUPD.EXE, AVWUPD32.EXE, AVWUPSRV.EXE, AVXMONITOR9X.EXE, AVXMONITORNT.EXE, AVXQUAR.EXE, BACKWEB.EXE, BARGAINS.EXE, BD_PROFESSIONAL.EXE, BEAGLE.EXE, BELT.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BLSS.EXE, BOOTCONF.EXE, BOOTWARN.EXE, BORG2.EXE, BPC.EXE, BRASIL.EXE, BS120.EXE, BUNDLE.EXE, BVT.EXE, CCAPP.EXE, CCEVTMGR.EXE, CCPXYSVC.EXE, CCSETMGR.EXE, CDP.EXE, CFD.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, Claw95.EXE, CLAW95CF.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CLICK.EXE, CMD32.EXE, CMESYS.EXE, CMGRDIAN.EXE, CMON016.EXE, CONNECTIONMONITOR.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CTRL.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DATEMANAGER.EXE, DCOMX.EXE, DEFALERT.EXE, DEFSCANGUI.EXE, DEFWATCH.EXE, DEPUTY.EXE, DIVX.EXE, DLLCACHE.EXE, DLLREG.EXE, DOORS.EXE, DPF.EXE, DPFSETUP.EXE, DPPS2.EXE, DRWATSON.EXE, DRWEB32.EXE, DRWEBUPW.EXE, DSSAGENT.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, EFPEADM.EXE, EMSW.EXE, ENT.EXE, ESAFE.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, ESPWATCH.EXE, ETHEREAL.EXE, ETRUSTCIPE.EXE, EVPN.EXE, EXANTIVIRUS-CNET.EXE, EXE.AVXW.EXE, EXPERT.EXE, EXPLORE.EXE, F-AGNT95.EXE, F-AGOBOT.EXE, FAMEH32.EXE, FAST.EXE, FCH32.EXE, FIH32.EXE, FINDVIRU.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FNRB32.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAA.EXE, FSAV.EXE, FSAV32.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, FSGK32.EXE, FSM32.EXE, FSMA32.EXE, FSMB32.EXE, F-STOPW.EXE, GATOR.EXE, GBMENU.EXE, GBPOLL.EXE, GENERICS.EXE, GMT.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HBINST.EXE, HBSRV.EXE, HIJACKTHIS.EXE, HOTACTIO.EXE, HOTPATCH.EXE, HTLOG.EXE, HTPATCH.EXE, HWPE.EXE, HXDL.EXE, HXIUL.EXE, IAMAPP.EXE, IAMSERV.EXE, IAMSTATS.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IDLE.EXE, IEDLL.EXE, IEDRIVER.EXE, IEXPLORER.EXE, IFACE.EXE, IFW2000.EXE, INETLNFO.EXE, INFUS.EXE, INFWIN.EXE, INIT.EXE, INTDEL.EXE, INTREN.EXE, IOMON98.EXE, IPARMOR.EXE, IRIS.EXE, ISASS.EXE, ISRV95.EXE, ISTSVC.EXE, JAMMER.EXE, JDBGMRG.EXE, JEDI.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KAVPF.EXE, KAZZA.EXE, KEENVALUE.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KERNEL32.EXE, KILLPROCESSSETUP161.EXE, LAUNCHER.EXE, LDNETMON.EXE, LDPRO.EXE, LDPROMENU.EXE, LDSCAN.EXE, LNETINFO.EXE, LOADER.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LORDPE.EXE, LSETUP.EXE, LUALL.EXE, LUAU.EXE, LUCOMSERVER.EXE, LUINIT.EXE, LUSPT.EXE, MAPISVC32.EXE, MCAGENT.EXE, MCMNHDLR.EXE, MCSHIELD.EXE, MCTOOL.EXE, MCUPDATE.EXE, MCVSRTE.EXE, MCVSSHLD.EXE, MD.EXE, MFIN32.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGAVRTCL.EXE, MGAVRTE.EXE, MGHTML.EXE, MGUI.EXE, MINILOG.EXE, MMOD.EXE, MONITOR.EXE, MOOLIVE.EXE, MOSTAT.EXE, MPFAGENT.EXE, MPFSERVICE.EXE, MPFTRAY.EXE, MRFLUX.EXE, MSAPP.EXE, MSBB.EXE, MSBLAST.EXE, MSCACHE.EXE, MSCCN32.EXE, MSCMAN.EXE, MSCONFIG.EXE, MSDM.EXE, MSDOS.EXE, MSIEXEC16.EXE, MSINFO32.EXE, MSLAUGH.EXE, MSMGT.EXE, MSMSGRI32.EXE, MSSMMC32.EXE, MSSYS.EXE, MSVXD.EXE, MU0311AD.EXE, MWATCH.EXE, N32SCANW.EXE, NAV.EXE, NAVAP.NAVAPSVC.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVENGNAVEX15.NAVLU32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVSTUB.EXE, NAVW32.EXE, NAVWNT.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NEOWATCHLOG.EXE, NETARMOR.EXE, NETD32.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NETUTILS.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NOD32.EXE, NORMIST.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NOTSTART.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NPSCHECK.EXE, NPSSVC.EXE, NSCHED32.EXE, NSSYS32.EXE, NSTASK32.EXE, NSUPDATE.EXE, NT.EXE, NTRTSCAN.EXE, NTVDM.EXE, NTXconfig.EXE, NUI.EXE, NUPGRADE.EXE, NVARCH16.EXE, NVC95.EXE, NVSVC32.EXE, NWINST4.EXE, NWSERVICE.EXE, NWTOOL16.EXE, OLLYDBG.EXE, ONSRVR.EXE, OPTIMIZE.EXE, OSTRONET.EXE, OTFIX.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PATCH.EXE, PAVCL.EXE, PAVPROXY.EXE, PAVSCHED.EXE, PAVW.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCCNTMON.EXE, PCCWIN97.EXE, PCCWIN98.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PCSCAN.EXE, PDSETUP.EXE, PENIS.EXE, PERISCOPE.EXE, PERSFW.EXE, PERSWF.EXE, PF2.EXE, PFWADMIN.EXE, PGMONITR.EXE, PINGSCAN.EXE, PLATIN.EXE, POP3TRAP.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PORTMONITOR.EXE, POWERSCAN.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PRIZESURFER.EXE, PRMT.EXE, PRMVR.EXE, PROCDUMP.EXE, PROCESSMONITOR.EXE, PROCEXPLORERV1.0.EXE, PROGRAMAUDITOR.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PUSSY.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAPAPP.EXE, RAV7.EXE, RAV7WIN.EXE, RAV8WIN32ENG.EXE, RAY.EXE, RB32.EXE, RCSYNC.EXE, REALMON.EXE, REGED.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCAN.EXE, RTVSCN95.EXE, RULAUNCH.EXE, RUN32DLL.EXE, RUNDLL.EXE, RUNDLL16.EXE, RUXDLL32.EXE, SAFEWEB.EXE, SAHAGENT.EXE, SAVE.EXE, SAVENOW.EXE, SBSERV.EXE, SC.EXE, SCAM32.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SCRSVR.EXE, SCVHOST.EXE, SD.EXE, SERV95.EXE, SERVICE.EXE, SERVLCE.EXE, SERVLCES.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SHOWBEHIND.EXE, SMC.EXE, SMS.EXE, SMSS32.EXE, SOAP.EXE, SOFI.EXE, SPERM.EXE, SPF.EXE, SPHINX.EXE, SPOLER.EXE, SPOOLCV.EXE, SPOOLSV32.EXE, SPYXX.EXE, SREXE.EXE, SRNG.EXE, SS3EDIT.EXE, SSG_4104.EXE, SSGRATE.EXE, ST2.EXE, START.EXE, STCLOADER.EXE, SUPFTRL.EXE, SUPPORT.EXE, SUPPORTER5.EXE, SVC.EXE, SVCHOSTC.EXE, SVCHOSTS.EXE, SVSHOST.EXE, SWEEP95.EXE, SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE, SYMPROXYSVC.EXE, SYMTRAY.EXE, SYSEDIT.EXE, SYSTEM.EXE, SYSTEM32.EXE, SYSUPD.EXE, TASKMG.EXE, TASKMO.EXE, TASKMON.EXE, TAUMON.EXE, TBSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TEEKIDS.EXE, TFAK.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRICKLER.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, TSADBOT.EXE, TVMD.EXE, TVTMD.EXE, UNDOBOOT.EXE, UPDAT.EXE, UPDATE.EXE, UPGRAD.EXE, UTPOST.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VET32.EXE, VET95.EXE, VETTRAY.EXE, VFSETUP.EXE, VIR-HELP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC32.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCAN40.EXE, VSCENU6.02D30.EXE, VSCHED.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBDAV.EXE, WEBSCANX.EXE, WEBTRAP.EXE, WFINDV32.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WIMMUN32.EXE, WIN32.EXE, WIN32US.EXE, WINACTIVE.EXE, WIN-BUGSFIX.EXE, WINDOW.EXE, WINDOWS.EXE, WININETD.EXE, WININIT.EXE, WININITX.EXE, WINLOGIN.EXE, WINMAIN.EXE, WINNET.EXE, WINPPR32.EXE, WINRECON.EXE, WINSERVN.EXE, WINSSK32.EXE, WINSTART.EXE, WINSTART001.EXE, WINTSK32.EXE, WINUPDATE.EXE, WKUFIND.EXE, WNAD.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WUPDATER.EXE, WUPDT.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZONALM2601.EX and ZONEALARM.EXE.

En este paso también trata de eliminar algunos archivos y claves del registro que pertenecen a distintos “malware” (software malicioso), como los siguientes:

* Archivos eliminados del directorio %system%:
Drvddll.exeopenopenopenopen
drvddll.exeopenopenopen
Drvddll.exeopenopen
Drvddll.exeopen
drvddll.exe

* Archivos eliminados del directorio %windir%:
FVProtect.exe
userconfig9x.dll
base64.tmp
zip1.tmp
zip2.tmp
zip3.tmp
zipped.tmp

* Claves eliminadas de SOFTWAREMicrosoftWindowsCurrentVersionRun, en las dos entradas de HKEY_LOCAL_MACHINE, y HKEY_CURRENT_USER:
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Explorer
direct.exe
winupd.exe

* Claves del registro eliminadas de HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun únicamente:
system.
msgsvr32
jijbl
service
Sentry

* Claves del registro eliminadas de HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun únicamente:
au.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe

* Claves del registro eliminadas de HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce:
system.
Video

Como un payload, parece que el gusano realiza después del 8 de Agosto del 2004 ataques DDoS a la página www.techtv.com, enviando algunas peticiones HTTP en 97 procesos.

Analiza en algunas ubicaciones específicas (como Archivos temporales de Internet), disco A: y disco fijo, así cómo también las unidades virtuales desde C: hasta Z:, buscado tipos de archivo que puedan contener direcciones de e-mail, como:
wab
pl
adb
tbb
html
xml
cfg
vbs
msg
dbx
uin
jsp
asp
cgi
php
sht
mht
ods
log
mbx
nch
eml

El remitente puede ser uno de los siguientes : vladimir, otto, penny, marie, freddy, elvin, anthony, zidane, connie, lenny, vivian, walter, stephen, brovac, hanson, carey, joshua, linda, julie, jimmy, jerry, helen, lissy, claudia, humm, anna, alice, stella, adam, harry, fred, jack, bill, stan, smith, steve, matt, dave, ronnie, joe, jane, bob, robert, peter, tom, chang, mary, william, brian, jim, maria, dolly, jose, steven, sam, george, david, kevin, mike, james, michael, alex, john or niky con diferentes nombres de dominios.

Uno de los cuerpo del mensaje que puede elegir es:

——- inicio del cuerpo del mensaje
If you want to see this video please open this URL with your favorite media player such as WinAmp or Windows Media Player.

«http://**.***.*.***/stevemitton.com/iraq2vediom.wmv». If there is fail please download it from your email attachment.

Thanks for watching.
——- fin del cuerpo del mensaje

En el link presenta las siguientes características:

Una cadena nunca usada que dice:
-={ 4tt4(k 4g4!n$t N3tSky, B34gl3, MyD00m, L0vG4t3, N4ch!, Bl4st3r }=-
Se leería como «Attack against Netsky, Beagle, Mydoom, LovGate, Nachi, Blaster» (Ataque en contra Netsky, Beagle, Mydoom, LovGate, Nachi, Blaster).

Hay otra cadena – encriptada – descubierta en ambas versiones, que dice:
«Developed by Melhacker(TM) for personal research only.» (Desarrollado por Melhacker (TM) para el personal de investigación de virus únicamente)

El gusano fue compilado con Visual C++ 6.00 y empaquetado con FSG 2.0.

Desinfección

Desinfección manual:
* Abrir el Administrador de tareas presionando [CTR]+[ALT]+[SUPR] en Win9x/ME o [CTRL]+[SHIFT]+[ESCAPE] en Win2000/XP
* Usar “Terminar Proceso” en SVRHOST.EXE de la pestaña “Procesos”.
* Abrir el “Editor del Registro” escribiendo [WIN]+[R]regedit[INTRO]
* Eliminar las clave del registro: «HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload»
* Eliminar el archivo %system%hint.exe

Nota para usuarios de Win98/ME: no se recomienda la desinfección manual.

Desinfección automática:
Deje que BitDefender desinfecte los archivos infectados.

Virus analizado por:
Mircea Ciubotariu
BitDefender Virus Researcher