Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)

Detectada a última hora del lunes 26 un nuevo gusano que se distribuye
de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza.

En el momento que escribimos esta noticia algunas casas antivirus ya

alertan sobre el gusano, bautizándolo como Novarg, Mydoom o Mimail.R,

entre otros nombres, si bien la inmensa mayoría aun no han distribuido

la actualización correspondiente para proteger a sus usuarios.

El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye vía correo

electrónico a través de archivos adjuntos con la extensión .BAT, .CMD,

.EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula ser un archivo

de texto.

El formato del mensaje en el que viaja es variable, la

dirección de remite es falseada, el asunto es variable, habiéndose

detectado los siguientes textos:

– Error

– Status

– Server Report

– Mail Transaction Failed

Mail Delivery System

– hello

– hi

Como cuerpo del e-mail se han podido confirmar los siguientes textos:

The message cannot be represented in 7-bit ASCII encoding and has been

sent as a binary attachment.

– The message contains Unicode

characters and has been sent as a binary attachment.

– Mail

transaction failed. Partial message is available.

– test

Cuando se ejecuta en un sistema crea los siguientes archivos:

Message en el directorio temporal de Windows

shimgapi.dll y taskmon.exe en el directorio de sistema (system) de

Windows

El archivo Message lo crea con caracteres al azar, y

muestra su contenido con el bloc de notas. Con este efecto el gusano

intenta engañar al usuario, para que crea que el archivo adjunto en el

e-mail que ha ejecutado era sólo texto sin sentido, cuando en realidad

ha activado el gusano y da comienzo su rutina de infección y propagación.

Añade las siguientes entradas en el registro de Windows para asegurarse su

ejecución en cada inicio del sistema:

-HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRunTaskMon =

%System%taskmon.exe

-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunTaskMon

= %System%taskmon.exe

También intenta reproducirse a través de

redes P2P copiándose en la carpeta de archivos compartidos de Kazaa con

las extensiones .PIF, .SCR .BAT y los siguientes nombres:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

Por último se ha detectado que el gusano abre

el puerto TCP 3127 en los sistemas infectados, lo que podría sugerir

funcionalidades de puerta trasera.

En el momento de redactar esta

nota, sólo TrendMicro reconocía el gusano desde últimas horas del lunes

26 como WORM_MIMAIL.R, NOD32 lo hacía durante las primeras horas de la

madrugada del ya martes 27 como Win32/Mydoom.A, seguido a los pocos

minutos por Antigen como MyDoom.A@m.

Symantec tiene

publicada la alerta en su web como categoría 4 (en una escala de 1 a 5),

y Network Associates (McAfee) define la alerta como High-Outbreak, si

bien ambas aun están analizando el gusano y no han proporcionado la

actualización oficial a los usuarios de sus antivirus. En el caso de

McAfee sí dispone ya de una firma adicional (Extra DAT) para actualizar

a demanda. Igualmente no reconocen aun el nuevo gusano las soluciones

InoculateIT, Kaspersky, Panda y Sophos.

Desde Hispasec seguiremos

durante la madrugada analizando el gusano, monitorizando su actividad, y

comprobando las respuestas de las diferentes soluciones antivirus, de

forma que en las próximas horas ofreceremos información más detallada al

respecto.