Análisis del gusano MyDoom/Novarg

a reacción de las diferentes soluciones antivirus, en ofrecer la actualización pertinente a sus usuarios para detectar el nuevo gusano, ha sido la siguiente:

TrendMicro, el 26/01/2004 a las 23:52:29 como WORM_MIMAIL.R
NOD32, el 27/01/2004 a las 00:55:43 como Win32/Mydoom.A
Antigen, el 27/01/2004 a las 01:39:51 como MyDoom.A@mm
Norton, el 27/01/2004 a las 01:50:13 como W32.Novarg.A@mm
Kaspersky, el 27/01/2004 a las 02:08:53 como I-Worm.Novarg
Sophos, el 27/01/2004 a las 02:09:19 como Win32/MyDoom-A
InoculateIT, el 27/01/2004 a las 02:28:42 como Win32.Shimg.Worm
Panda, el 27/01/2004 a las 05:39:04 como W32/Mydoom.A.worm
McAfee, el 27/01/2004 a las 05:57:49 como W32/Mydoom@MM

Estos datos pertenecen a las soluciones antivirus monitorizadas 24hx7d por el laboratorio de Hispasec. Destacan los distintos nombres con los que el gusano ha sido bautizado (Mimail.R, Mydoom, Novarg y Shimg), y como en prácticamente 6 horas se han concentrado todas las actualizaciones de los diferentes productos, muestra del peligro que representa el gusano.

Táctica del gusano para engañar a los usuarios

Este gusano no infecta de forma automática a los sistemas, a diferencia de aquellos, como Blaster, que se aprovechaban de vulnerabilidades de los productos de Microsoft. En este caso, el usuario debe abrir y ejecutar el archivo que contiene el gusano para infectar su sistema.

Para engañar a los usuarios, el gusano suele llegar adjunto en un mensaje que simula haber tenido algún problema con el servidor de correo. Entre otras "excusas", el mensaje del gusano puede indicar que el correo electrónico contenía caracteres no válidos y ha requerido enviarlo como archivo binario adjunto. Algunos de estos
mensajes "trampa" son:

- "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment".

- "The message contains Unicode characters and has been sent as a binary attachment."

- "Mail transaction failed. Partial message is available."

Aunque también se han recibido muestras con otros textos o con el cuerpo del mensaje vacío.

Los textos más comunes que aparecen en el asunto del mensaje son:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

El archivo adjunto, donde viaja el código del gusano, es un ejecutable con extensión .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en Windows simula ser un archivo de texto y también se han detectado casos en los que aparece como acceso directo de MsDos, entre los nombres más comunes reportados se encuentran:

readme
file
text
doc
hello
body
message
test
document
data

Cuando se ejecuta en un sistema crea los siguientes archivos:

- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system) de Windows

El archivo "Message" lo crea con caracteres al azar, y muestra su contenido ilegible con el bloc de notas. Con este efecto el gusano intenta engañar al usuario, para que crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto sin sentido debido a algún error del correo electrónico, cuando en realidad ha activado el gusano y da comienzo su rutina de infección y propagación.

Infección del sistema

Añade las siguientes entradas en el registro de Windows para asegurarse su ejecución en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\RunTaskMon = %System%\taskmon.exe

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunTaskMon = %System%\taskmon.exe

El archivo "taskmon.exe", puede sobreescribir a un ejecutable legítimo de Windows que tiene el mismo nombre, por lo que los usuarios no se deben alertar por encontrar únicamente este nombre de archivo en sus sistemas. Para corroborar la infección deben comprobar el resto de síntomas aquí descritos o utilizar un antivirus puntualmente actualizado.

Adicionalmente crea las siguientes entradas en el registro de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

Puerta trasera

El archivo "shimgapi.dll" es inyectado en el ejecutable de Windows " explorer.exe" a través de la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32" (Default)" = %SysDir%\shimgapi.dll

Esta DLL actúa como proxy, abriendo un puerto TCP en el sistema en el rango 3127-3198, que permite el acceso de terceras personas. Además cuenta con funcionalidades para descargar y ejecutar programas de forma arbitraria, lo que posibilita todo tipo de acciones.

Propagación por correo electrónico

Una vez infecta un sistema, el gusano recoge direcciones de correo a las que enviarse buscando en los archivos con extensión .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del mensaje en el que se autoenvía es el que describimos con anterioridad, haciéndose pasar por un problema en el envío o visualización del correo electrónico.

Como curiosidad, parece ser que el autor del gusano ha querido tener cierto trato de favor con las universidades de Estados Unidos, ya que evita enviarse a las direcciones de e-mail que finalizan en .edu

Propagación a través del cliente KaZaa (red P2P)

En los sistemas que infecta localiza la carpeta de archivos compartidos del cliente P2P KaZaa y se copia con la extensión .pif, .scr, .bat o .exe y alguno de los siguientes nombres:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp

Para que otro usuario se infecte a través de esta vía, es necesario que realice en la red P2P una búsqueda por alguno de los nombres utilizados por el gusano, que proceda a su descarga, y ejecute el archivo.

En realidad esta vía de contagio es apenas insignificante en comparación con la propagación alcanzada por correo electrónico.

Ataque por denegación de servicio distribuido

El gusano contiene un payload o efecto que se activa a partir del 1 de febrero, dejará de propagarse a través del correo electrónico para iniciar un ataque por denegación de servicio contra el dominio www.sco.com. Este ataque también tiene fecha de caducidad, ya que el gusano dejará de realizar peticiones GET al puerto 80 de sco.com a partir del 12 de febrero, fecha a partir de la cual sólo quedará activa la puerta trasera en el sistema infectado a través del puerto TCP abierto.

Al parecer el creador del gusano tiene interés en perjudicar al grupo SCO, empresa que está en los últimos tiempos en el punto de mira de la comunidad Linux, ya que demandó a IBM argumentando que el código fuente de Linux contiene fragmentos copiados del Unix de SCO, supuesto plagio que hasta el momento ha sido incapaz de demostrar.

Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente, contar con soluciones antivirus correctamente instaladas y puntualmente actualizadas.