W32/DownAdup.gen

Resúmen:

W32/DownAdup o W32/Kido es un gusano que se propaga vía internet explotando una vulnerabilidad del sistema operativo. También se propaga vía recursos compartidos y unidades USB.

Vulnerabilidad:  Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability.  

Se recomienda aplicar los parches de Microsoft utilizando la siguiente dirección:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

El gusano crea un servidor HTTP en la computadora infectada, también descarga archivos ejecutables de fuentes diversas.

En su intento por conectarse a las computadoras de la red usando contraseñas al azar, el acceso a determinados usuarios es bloqueado si la red cuenta con una política de bloqueo de cuentas.

Instalación:

Al ejecutarse el gusano se copia a la carpeta de sistema de Windows con un nombre al azar:

%system%\<nombre al azar>.DLL  -> %system% usualmente referencia a C:\Windows\System32

Otras variantes:

%Program Files%\Internet Explorer\<nombre al azar>.dll
%Program Files%\Movie Maker\<nombre al azar>.dll
%All Users Application Data%\<nombre al azar>.dll
%Temp%\<nombre al azar>.dll
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
 

Crea llaves en el registro para iniciarse automáticamente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{nombre al azar}
"Image Path" = %System Root%\system32\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{nombre al azar}\Parameters
"ServiceDll" = %system%\<nombre al azar>.DLL

Otros:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"jwgkvsq" = rundll32.exe .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx, ahaezedrn
 

El virus se inyecta a los procesos del sistema (svchost.exe, explorer.exe, services.exe) y comienza su rutina de propagación.

Propagación:

El gusano crea un servidor HTTP en un puerto TCP al azar. Este servidor HTTP se encargará de distribuir copias infectadas del gusano a otras computadoras en Internet.

El gusano escanea el internet vía el puerto TCP 445 en busca de computadoras con la vulnerabilidad MS08-067, prepara un paquete RPC especialmente modificado para ejecutar código remoto, lo envía e infecta la computadora. El código remoto baja un archivo infectado desde nuestro servidor HTTP.

El archivo infectado tiene una extensión .bmp, .gif, .jpeg, .png para sobrepasar cualquier firewall existente.

Red local:

El gusano se intenta conectar a otras computadoras de la red utilizando las credenciales del usuario infectado, si no es posible, el gusano intenta con la lista de usuarios de la computadora y contraseñas al azar de una lista de palabras conocidas (Ej. 123, 123abc, root, admin, admin123, bussiness, games, killer, password, password123, secret, windows, etc, etc).

Si la conexión es exitosa el gusano se copia a la computadora remota con un nombre y extensión al azar y crea una tarea programa (*.job) para que se ejecute posteriormente.

\\computadora remota\\ADMIN$\System32\<nombre al azar>.<ext al azar>

Las últimas versiones del gusano también se copian a unidades USB en la carpeta de reciclaje,  crea un archivo AUTORUN.INF en la raíz para ejecutarse automáticamente.

Ej.

RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Descarga de otros archivos:

El gusano se conecta a los siguientes servidores, descarga un archivo y lo ejecuta:

hyyp://trafficconverter.biz/4vir/antispyware/<BLOQUEADO>.exe

hyyp://www.maxmind.com/download/geoip/database/<BLOQUEADO>.exe

El gusano se conecta a los siguientes servidores para obtener la fecha, en base a ello genera URLs de descarga en dominios .biz, .org, .net, .com.

hyyp://ask.com
hyyp://baidu.com
hyyp://google.com
hyyp://msn.com
hyyp://www.w3.org
hyyp://yahoo.com

Mientras el sistema está infectado el gusano bloquea la conexión a las páginas de los principales antivirus y programas de seguridad:

Derechos reservados 1992/2009 HackSoft S.R.L. Lima-Perú