por: Trend Micro
Trend Micro © Derechos Reservados
MASLAN Multitarea - WORM_MASLAN.A (Bajo Riesgo)
WORM_MASLAN.A es un gusano residente en memoria que se propaga mediante el correo electrónico, y típicamente llega como un archivo adjunto denominado PlayGirls2.exe.
El gusano obtiene las direcciones electrónicas de sus víctimas de ciertos tipos de archivos que encuentra en la computadora infectada.
Aprovecha una vulnerabilidad de Windows conocida como RPC-DCOM (Remote Procedure Call - Distributed Component Object Model) posiblemente para ayudarle en sus rutinas de propagación.
Adicionalmente, este gusano posee funcionalidades de componente de puerta trasera que le permiten obtener el control sobre el sistema. Al infectar una computadora, finaliza ciertos procesos asociados con aplicaciones antivirus, lo que reduce los niveles de seguridad. Finalmente, emprende ataques de negación de servicio (DoS) contra ciertos sitios Web. MASLAN.A corre en Windows 95, 98, ME, NT, 2000, y XP.
Detalles:
Luego de ejecutarse, deposita los siguientes componentes en el directorio del sistema de Windows:
___r.exe | ___n.exe | ___synmgr.exe
Al infectar una máquina, crea dos entradas en el registro de Windows con el propósito de asegurar su autoejecución en cada inicio del sistema. Por un error en su código, el programa envía el siguiente mensaje de error del sistema operativo. Al hacer clic en el botón “OK”, se da por terminada la ejecución del gusano.
El código del gusano lleva la programación para iniciar una rutina de propagación masiva por correo electrónico, mediante el cual envía copias de sí mismo. Las direcciones de sus víctimas son obtenidas de los archivos que encuentra en el sistema con las siguientes extensiones:
* adb * asp * cfg * cgi * dbx * dhtm * eml
* htm * jsp * mbx * mdx * mht * mmf * msg
* nch * ods * oft * php * sht * shtm * stm
* tbb * txt * uin * wab * wsh * xls * xml
El correo electrónico
El correo electrónico en el que se envía MASLAN.A contiene los siguientes detalles:
Asunto: %Nombre%
Cuerpo del Mensaje: Hello %Nombre%,
Best regards,
%Nombre%
Archivo Adjunto: PlayGirls2.exe
En el campo %Nombre% pueden aparecer alguno de los siguientes nombres que el gusano tiene programados para colocar en ese espacio:
* Alan * Andrew * Angel * Anna * Arnold * Bernard * Carter * Chris
* Christian * Conor * Ghisler * Goldberg * Green * Helen * Ivan * Jackson
* John * Kramer * Kutcher * Liza * Lopez * Mackye * Maria * Miller
* Nelson * Peter * Robert * Ruben * Sarah * Scott * Smith * Steven
Este gusano muestra habilidades de puerta trasera, lo que le permite conectarse a un servidor IRC (Internet Relay Chat) desde donde escucha comandos de un usuario remoto. Esto le da a ese usuario remoto la autorización para desarrollar las siguientes funciones:
Descargar y Ejecutar Archivos
Registrar la actividad del teclado
Ejecutar ataques de negación del servicio por inundación de caracteres (SYN flooding)
Terminar procesos.
Actualizarse a sí mismo.
Aprovechar vulnerabilidades.
WORM_MASLAN.A hace uso de la vulnerabilidad RPC (Procedimiento de Llamada Distante) DCOM (Modelo de Objeto de Componente Distribuido) para ejecutar programas remotamente en sistemas vulnerables que no ha recibido el parche de seguridad de Microsoft.
Esta vulnerabilidad, anunciada por Microsoft desde el 16 de julio de 2003, permite a un usuario remoto obtener el control del sistema infectado y ejecutar comandos en él, al enviar un paquete de datos defectuosos al servicio DCOM. (Ver el Boletín se Seguridad de Microsoft MS03-026 en http://www.microsoft.com/technet/security/bulletin/ms03-026.mspx).
Este gusano finaliza una variedad de procesos asociados con aplicaciones antivirus y de seguridad del sistema, y ejecuta ataques de negación de servicio contra los siguientes sitios Web:
chechenpress.com, chechenpress.info, kavkaz.org.uk, kavkaz.tv, kavkaz.uk.com, kavkazcenter.com, kavkazcenter.info, kavkazcenter.net
Finalmente, el gusano busca en la carpeta Archivos de Programas y sus subdirectorios por archivos ejecutables con una ruta que contenga las siguientes líneas de texto:
Distr, download, setup, share
Cuando encuentra un archivo .EXE con estas características, recupera la ruta para ese archivo y la copia en el directorio ___b:, donde copia el archivo de cada programa. Entonces, el contenido de ese archivo es reemplazado por ceros.
Como un dato curioso, en el cuerpo del gusano se puede encontrar la siguiente línea de texto:
-{ Hah… MyDoom, Bagle, etc… since then you do not have future more! }-
WORM_MASLAN.A es detectado y eliminado por el patrón de virus de Trend Micro número 2.286.10 ó superiores. Otros usuarios de Internet, pueden detectar este gusano y miles de virus, troyanos y otros códigos maliciosos, usando HouseCall, el rastreador de virus gratuito en línea de Trend Micro, al que se puede acceder desde: http://housecall.trendmicro.com/ .
Para mayores detalles sobre los métodos para eliminar esta herramienta y el troyano asociado de sistemas infectados, por favor consulte la siguiente liga:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MASLAN.A
Con la colaboración de Trend Micro
Ver VideoIr a GaleríaVer Blog