Nuevo Gusano SUMOM circula por Messenger

Por: Karina Saavedra O.

Nombre: Sumom.a
Alias: IM-Worm.Win32.Sumom.a, W32.Serflog.A, Serflog

Resumen

Sumom es un gusano que se propaga por Mensajeros Instantáneos, el cual apareció por primera vez el 7 de marzo del 2005. Este gusano se disemina utilizando MSN y redes P2P y es capaz de copiarse a los CD-R. Este gusano contiene un mensaje al autor del gusano Asiral.

Desinfección

El gusano hace todos los esfuerzos para proteger sus archivos evitando que sean borrados. Para desinfectar este gusano usando F-Secure Anti Virus debe de seleccionar Renombrar Automáticamente, después de renombrados los archivos estos pueden ser eliminados.

Para conocer la manera en la cual se debe hacer este cambio, por favor vaya al sitio:

http://support.f-secure.com/enu/home/virusproblem/howtoclean/howtodeleteinfec...

Desinfección Manual

Debido a que este gusano evita la ejecución de diversos programas y aplicaciones, es posible que no pueda acceder al registro o al explorador de Windows, por lo que debe:

1.- Reiniciar la PC en modo MS-DOS o en modo a prueba de fallos
2.- Escriba desde MS-DOS Regedit
3.- En el registro de Windows busque y elimine las siguientes llamadas o llaves:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<value>" = "%winsysdir%\serbw.exe"
donde <value> puede ser cualquiera de los siguientes:

ltwob
serpe
avnort

Así mismo se deberán buscar y eliminar los siguientes archivos:

1.-Dentro de Windows: 'msmbw.exe'
2.- En la carpeta del sistema: 'formatsys.exe' y 'serbw.exe'
3.- En la raiz de C:\

lspt.exe
Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!.pif
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
Jennifer Lopez.scr
Crazy-Frog.Html

4.- Si utiliza programas P2P también será necesario ir a la carpeta que comparta para estos programas, por ejemplo:

'My Shared Folder', 'Program Files\eMule\Incoming' y 'Shared' del usuario y buscar en 'Documents and Settings':
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe

5.- 'Local Settings\Application Data\Microsoft\CD Burning, de aquí se requiere borrar el archivo autorun.exe

Esto lo genera el gusano para que cuando se queme un CD se copie y al ejecutarse este infecte la computadora.

Código dañino

El gusano tiene diversas funciones. Primero deshabilita la opción de restauración del sistema. Posteriormente configura al Explorador de Windows para que no muestre archivos ocultos.

Cuando se encuentra activo en memoria el gusano mata los siguientes procesos:

avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
cmd.exe
msconfig.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
taskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe

Como resultado algunas aplicaciones de seguridad así como antivirus, y algunas aplicaciones de Windows dejan de funcionar.

Asimismo el gusano intenta re-direccionar las ubicaciones de los siguientes sitios a la dirección 64.233.167.104 modificando el archivo HOSTS de la PC infectada.

www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
update.symantec.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
nai.com
networkassociates.com
ca.com
mast.mcafee.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
grisoft.com
sandbox.norman.no
www.pandasoftware.com
uk.trendmicro-europe.com

También el gusano cierra las aplicaciones, si encuentra en estas alguna de las siguientes cadenas de texto:

ADWARE
ALERTS
AUTOSTARTED
BENIGN
BLOCKER
BULLGUARD
BUSTER
CENTER
-CILLIN
CLEANER
Command
DESTROY
DETECTION
DOCTOR
EARTHLINK
EDITOR
ELIMINATE
Filter
FIREWALL
FIXING
HUNTER
LIVEUPDATE
MALWARE
MALWHERE
MCAFEE
NETCOP
NORTON
PROMPT
PROTECTOR
REGISTRY
REMOVAL
RESTORE
SANDBOX
SECURE
SECURITY
SOPHOS
SPYBOT
SPYWARE
STOPPER
SWEEPER
Update
VCATCH

F-Secure detecta este gusano con la actualización de virus del 7 de marzo del 2005.