W32/Manymize@MM, I.worm.Manymize@mm

Manymize es un gusano reportado el 26 de Julio del 2002, de difusión masiva, vía correo electrónico a través de mensajes con un archivo anexado de nombre aleatorio elegido de 4 opciones, está programado en Visual C++ y tiene una extensión de 92 KB. El sistema será infectado, tan solo visualizando el mensaje.

Este gusano busca las vulnerabilidades de Internet Explorer 5.01 y 5.5, denominada IFRAME exploit y la del Media Player Unchecked Buffer, que afecta al Windows Media Player de Microsoft.

El código del virus posee su propia SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos del sistema infectado, haciendo uso de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook y Outlook Express. El mensaje de correo tiene las siguientes características:

Remitente: cualquiera de los siguientes nombres seguidos del dominio @patame.com.tw

Heygenius, hulee, imedusa, jauhui, huangsj, huangsu, ietachi, jingyam, j4504, uangm, ivanhuangm, huting, j420k, homelanie, jaga6182, jj0103, hu4461, hui0716, hwachang, jacky702, jc660212, hh456, hsingni, hfp8, hgk315, huck0083, happymm, huang_ken, hut6641, j3017, james813, jarenluo, jenny_tsai, herotom, hfp5, hpf5678, ioiop5022, jupiter1117, hks7982, hippo8047, hk1513, hsiung33, jade1002, hsintay, hsu31036, ienali, jean0628, jht66, hhjj00669, hq7699, hv116699, hy0527, hyy0831, i100043491, j80014, jack2202, jacky12j, jemily, hs6910, iqmore, jack6318, jackyy0607, h2h3, h90308, hata408, hd6525, heart1028, hope90, hui0330, ifififif, ino007, isamuoki88, j813, housepain, hsiaan, hsuan0811, imgproc, ivy0323, j122388084, jearsu, jeff2415, jenshyan9, jeslee, jhae9876, jhjhshoke, hch88888, hj002040, hkl750, ioiriui, iw5650, jaja77, japs412, iii5555, i8455, h123243574, hit206, jessie1985, howarda, isancp, h885talk, hanwuji, hapi169, hb0810, hdd0002, hhhh7111, j7558486, jackie59, jarehoard0339, jcsun1028, jk78963578, jmj12, jmsbtl, jn0481, jo1016, joe126857, joemm, johnnyy1, jojo987654, joko3, jon1210, jonse16 

Asunto y cuerpo del mensaje : elegido en forma aleatoria y combinada de cualquiera de estos segmentos: 

Segmento # 1

• Hi <nombre_de_destinatario>
• Dear <nombre_de_destinatario>
• How are you !! <nombre_de_destinatario>
• My friend, <nombre_de_destinatario>
• Hello <nombre_de_destinatario>

Segmento # 2

• , Watch my
• , Attached is my
• , Open the
• , This is
• , See this

Segmento # 3

• special
• amusing
• cute
• interesting
• funny

Segmento # 4

• tape.
• clip.
• penguin.
• movie.
• video.

Anexado: uno de los siguientes:

• mi2.exe
• mi2.chm
• mi2.htm
• mi2.wmv

Este gusano busca la vulnerabilidad de Internet Explorer 5.01 y 5.5, denominada Iframe exploit, y MIME exploit que permiten que el archivo infectado se ejecute con tan solo leer el mensaje bajo la opción de vista previa. Los sistemas afectables, en el caso de que el usuario no haya actualizado las correcciones, son:

• Microsoft Internet Explorer 5  para Windows 98

• Microsoft Internet Explorer 5  para Windows 95

• Microsoft Internet Explorer 5  para Windows NT 4.0

(Vulnerabilidad corregida en Internet Explorer 6x)

La vulnerabilidad del protocolo MIME (Multipurpose Internet Mail Extensions) consiste, en el caso que MS Outlook esté configurado con la opción de "Mostar panel de vista previa" activada, y consecuentemente será suficiente visualizar el mensaje, sin necesidad de ejecutar el archivo anexado, para infectar el sistema.

El parche para tanto el IFRAME exploit y el MIME exploit debe ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

La otra vulnerabilidad es el Advanced Streaming Format (ASF), que permite que el usuario infecte su sistema al visualizar cualquier archivo con extensión .WMV (Windows Media Video). Una vez visualizado, un componente del gusano automáticamente direcciona a una página web que sea visualizable con el Windows Media Player.  

El parche para corregir esta vulnerabilidad puede ser descargado desde:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-056.asp

Los sistemas afectados son:

• Windows Media Player 6.4
• Windows Media Player 7
• Windows Media Player 7.1
• Windows Media Player para Windows XP

El archivo infectado también contiene un JavaScript en su código viral que activa el componente CHM del gusano. Los archivos .CHM son aquellos generados por una tecnología de Microsoft para desarrollar programas de "Ayuda" (Help) en las multimedia y páginas web.

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa":

Las direcciones de correo son substraídas de la cuenta SMTP del sistema infectado y que se encuentra en la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\Default Mail Account]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager]

El gusano también recolecta direcciones de correo de las entradas por defecto de la Libreta de Direcciones de Windows (WAB). La ruta y archivo son substraídas de la siguiente llave de registro:

[HKEY_CURRENT_USER \Software\Microsoft\WAB\WAB4\Wab\Wab File Name]
Default = "(archivo y ruta del archivo WAB)"
 
Manymize no tiene un payload destructivo, pero su alto grado de propagación puede saturar servidores de Correo y LAN, pudiendo ocasionar una negación de Servicio DoS (Denial of Service).