Tema: Sinnaka se propaga por correos masivos

[Danae]

Sinnaka
Gusano cuya propagación se realiza a través del envío masivo de correo a direcciones que recoge de ficheros de diversas extensiones ubicados en el equipo afectado.
El mensaje enviado está en inglés y con un lleva anexo un fichero de formato 'zip'.
Utiliza su própio motor SMTP, lo que hace independiente su funcionamiento del cliente de correo instalado en el equipo.
Detiene la ejecución de multitud de procesos, muchos de ellos relativos a aplicaciones antivirus y de seguridad informática, dejando así al equipo desprotegido frente a otras amenazas.

Nombre completo: Worm.W32/Sinnaka@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 557056
Alias:W32.Sinnaka.A@mm (Symantec)

Cuando Worm.W32/Sinnaka@MM es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo como %System%\lsess.exe.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea los siguientes ficheros comprimidos 'zip', que son copias del própio gusano:
%System%\lsess.zip
%System%\credit card.zip
%System%\edonkey 1.1.zip
%System%\emoticons msn.zip
%System%\hotmail passwords howto.me.zip
%System%\lsess.zip
%System%\norton antivirus.zip
%System%\overnet full.zip
%System%\windows commander.zip
%System%\windows xp activate.zip
%System%\winzip cracked.zip

Deja en el equipo los siguientes ficheros:
%System%\zlib.dll
%System%\ansmtp.dll

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
        HKEY_CLASSES_ROOT\txtfile\shell\open\command
Valor: "lsess" = "%System%\lsess.exe"
Obtiene las direcciones de correo electrónicas incluidas en los ficheros de las siguientes extensiones ubicados en el equipo afectado:
.EML
.DOC
.DHTM
.DBX
.ADB
.ASP
.CFG
.CGI
.HTM
.JSP
.MBX
.MDX
.MHT
.MMF
.MSG
.NCH
.ODS
.OFT
.PHP
.PPT
.RTF
.SHT
.SHTM
.STM
.TBB
.TXT
.UIN
.VBS
.WAB
.WSH
.XLS
.XML

Evita enviar el mensaje a aquellas direcciones que contengan las siguientes cadenas de caracteres:
@antivir
@avp
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symatec
@viruslist
abuse@
noreply@
ntivir
reports@
spam@

Registra su motor SMTP (Simple Mail Transfer Protocol) mediante la creación de las siguientes claves en el registro de Windows:
Clave: HKEY_CLASSES_ROOT\ANSMTP.MassSender
        HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
        HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
        HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
Utiliza su própio motor SMTP para enviar mensajes a las direcciones electrónicas obtenidas previamente.

El correo enviado tiene las siguientes características:

Asunto: uno de los siguientes:
Administration
Bad Request
Delivery Protection
Delivery Server
Encripted Mail
Error
Extended Mail
Extended Mail System
Failure
Mail Authentification
Mail Server
Notify
Protected Mail Delivery
Protected Mail Request
Protected Mail System
SMTP Server
Secure SMTP Message
Secure delivery
Status
Test
Thank you for delivery
Thanks!
approved
corrected
hello
here
hi
important
improved
patched
read it immediately

Cuerpo del mensaje: uno de los siguientes:
Bad Gateway: The message has been attached.
Delivered message is attached.
Encrypted message is available.
ESMTP [Secure Mail System #334]: Secure message is attached.
First part of the secure mail is available.
Follow the instructions t read the message.
For further details see the attachment.
For more details see the attachment.
Forwarded message is available.
New message is available.
Now a new message is available.
Partial message is available. Waiting for a Response. Please read the attachment.
Please authenticate the secure message.
Please confirm my request.
Please read the attachment t get the message.
Protected Mail System Test.
Protected message is attached.
Protected message is available.
Secure Mail System Beta Test.
SMTP: Please confirm the attached message.
Waiting for authentification.
You got a new message.
You have received an extended message. Please read the instructions.
Your requested mail has been attached.

- seguido por alguna de las siguientes: -
Authentication required.
I have attached your document.
Please see the attached file for details.
I have received your document. The corrected document is attached.
Please confirm the document.
Please read the attached file!
Please read the attached file!
Please read the document.
Please read the important document.
Requested file.
See the file.
Your details.
Your document is attached t this mail.
Your document is attached.
Your document.
Your file is attached.

- seguido por: -
+++ Attachment: No Virus found

- seguido por alguna de las siguientes: -
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Panda AntiVirus - www.pandasoftware.com
++++ Norman AntiVirus - www.norman.com
++++ F-Secure AntiVirus - www.f-secure.com
++++ Norton AntiVirus - www.symantec.de

Fichero Anexo: uno de los siguientes:
data.zip
details.zip
document.zip
Message.zip
msg.zip
readme.zip

Nota: El anexo es una copia comprimida del gusano.
Contiene alguno de los siguientes ficheros:
Document.txt [- muchos espacios en blanco -].exe
Delails.doc [- muchos espacios en blanco -].exe
Data.txt [- muchos espacios en blanco -].exe
Readme.txt [- muchos espacios en blanco -].exe

Finaliza la ejecución de los siguientes procesos:
avpmon.exe
avp32.exe
VPC32
zonealarm.exe
vshwin32.exe
vet95.exe
tbscan.exe
serv95.exe
Nspclean.exe
clrav.com
scan32.exe
rav7.exe
navw.exe
outpost.exe
nmain.exe
navnt.exe
mpftray.exe
lockdown2000.exe
avpcc.exe
icssuppnt.exe
icload95.exe
iamapp.exe
findviru.exe
f-agnt95.exe
dv95.exe
dv95_o.exe
claw95ct.exe
cfiaudit.exe
avwupd32.exe
avptc32.exe
_avp32.exe
avgctrl.exe
apvxdwin.exe
_avpcc.exe
wfindv32.exe
vsecomr.exe
tds2-nt.exe
sweep95.exe
EFINET32.EXE
scrscan.exe
safeweb.exe
persfw.exe
navsched.exe
nvc95.exe
nisum.exe
navlu32.exe
ALOGSERV
AMON9X
AVGSERV9
AVGW
avkpop
avkservice
AvkServ
avkwctl9
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
moolive.exe
jed.exe
icsupp95.exe
ibmavsp.exe
frw.exe
f-stopw.exe
espwatch.exe
procexp
filemon.exe
regmon.exe
dvp95.exe
cfiadmin.exe
avwin95.exe
avpm.exe
avp.exe
ave32.exe
anti-trojan.exe
webscan.exe
webscanx.exe
tds2-98.exe
SymProxySvc
SYMTRAY
TAUMON
TCM
TDS-3
TFAK
vbcmserv
VbCons
VSMAIN
vsmon
WIMMUN32
WGFE95
WEBTRAP
WATCHDOG
WrAdmin
sphinx.exe
scanpm.exe
taskmgr
rescue.exe
pcfwallicon.exe
pavcl.exe
nupgrade.exe
navwnt.exe
navapw32.exe
luall.exe
iomon98.exe
icmoon.exe
fprot.exe
f-prot95.exe
esafe.exe
cleaner3.exe
IBMASN.EXE
AVXW
cfgWiz
CMGRDIAN
CONNECTIONMONITOR
CPDClnt
DEFWATCH
CTRL
defalert
defscangui
DOORS
EFPEADM
ETRUSTCIPE
EVPN
EXPERT
fameh32
fch32
fih32
blackice.exe
avsched32.exe
avpdos32.exe
avpnt.exe
avconsol.exe
ackwin32.exe
NWTOOL16
pccwin97
PROGRAMAUDITOR
POP3TRAP
PROCESSMONITOR
PORTMONITOR
POPROXY
pcscan
pcntmon
pavproxy
PADMIN
pview95
rapapp.exe
REALMON
RTVSCN95
vsstat.exe
vettray.exe
tca.exe
smc.exe
scan95.exe
rav7win.exe
gbmenu
pccwin98.exe
KPFW32.EXE
ADVXDWIN
padmin.exe
normist.exe
navw32.exe
n32scan.exe
lookout.exe
iface.exe
icloadnt.exe
SPYXX
SS3EDIT
SweepNet
iamserv.exe
fp-win.exe
f-prot.exe
fsmb32
ecengine.exe
cleaner.exe
cfind.exe
blackd.exe
RULAUNCH
sbserv
SWNETSUP
WrCtrl
avpupd.exe
avkserv.exe
autodown.exe
_avpm.exe
regedit.exe
msconfig.exe
FPROT95.EXE
sfc.exe
fsma32
regedt32.exe
offguard.exe
pav.exe
pavmail.exe
per.exe
perd.exe
pertsk.exe
perupd.exe
pervac.exe
pervacd.exe
th.exe
th32.exe
th32upd.exe
thav.exe
thd.exe
thd32.exe
thmail.exe
alertsvc.exe
amon.exe
kpf.exe
antivir
avsynmgr.exe
cfinet.exe
cfinet32.exe
icmon.exe
lockdownadvanced.exe
lucomserver.exe
mcafee
navapsvc.exe
navrunr.exe
nisserv.exe
nsched32.exe
pcciomon.exe
pccmain.exe
pview95.exe
Avnt.exe
Claw95cf.exe
Dvp95_0.exe
Vscan40.exe
Icsuppnt.exe
Jedi.exe
N32scanw.exe
Pavsched.exe
Pavw.exe
Avrep32.exe
Monitor.exe
fsgk32
fsm32
GBPOLL
GENERICS
GUARD
IAMSTATS
ISRV95
LDPROMENU
LDSCAN
LUSPT
MCMNHDLR
MCTOOL
MCUPDATE
MCVSRTE
MGHTML
MINILOG
MCVSSHLD
MCAGENT
MPFSERVICE
MWATCH
NeoWatchLog
NVSVC32
NWService
NTXconfig
NTVDM
ntrtscan
npssvc
npscheck
netutils
ndd32
NAVENGNAVEX15
notstart.exe
zapro.exe
pqremove.com
BullGuard
CCAPP.EXE
vet98.exe
VET32.EXE
VCONTROL.EXE
claw95.exe
ANTS
ATCON
ATUPDATER
ATWATCH
AutoTrace
AVGCC32
AvgServ
AVWINNT
fnrb32
fsaa
fsav32
ZAP.EXE
ZAPD.EXE
ZAPPRG.EXE
ZAPS.EXE
ZCAP.EXE
VPTRAY
Nombres de Ficheros Adjuntos (virus que llegan por correo)
msg.zip
Message.zip
details.zip
document.zip
data.zip
readme.zip
 
Asunto del mensaje (virus que llegan por correo)
read it immediately
patched
improved
important
hi
here
hello
corrected
approved
Thanks!
Thank you for delivery
Test
Status
Secure delivery
Secure SMTP Message
SMTP Server
Protected Mail System
Protected Mail Request
Protected Mail Delivery
Notify
Mail Server
Mail Authentification
Failure
Extended Mail System
Extended Mail
Error
Encripted Mail
Delivery Server
Delivery Protection
Bad Request

Reparación:
Desactive restaurar sistema
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PCSi el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, el valor indicado:
Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
        HKEY_CLASSES_ROOT\txtfile\shell\open\command
Valor: "lsess" = "%System%\lsess.exe"
Elimine las siguientes subclaves añadidas al registro por acción del gusano:
Clave: HKEY_CLASSES_ROOT\ANSMTP.MassSender
        HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
        HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
        HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4928

[destroyer]

Gracias Danae

un saludo