Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de Internet que se propaga a través del correo electrónico como un archivo adjunto EXE. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 70 Kb de longitud y está escrito en VisualBasic. El gusano tiene muchos errores, y en muchos casos (¿en todos los casos, en cualquier entorno?), No funciona correctamente: el archivo del gusano no está adjunto a los mensajes salientes, y el texto del mensaje parece diferente de lo que el gusano intenta.

Para propagarse desde una computadora afectada, el gusano usa MS Outlook, obtiene direcciones de la libreta de direcciones de MS Outlook y de la libreta de direcciones de Windows, y envía mensajes allí. El gusano también envía un mensaje infectado a vb.master@angelfire.com cada vez que se ejecuta la rutina de propagación.

El mensaje Asunto y Cuerpo debería aparecer de la siguiente manera (no lo hacen debido a un error en el código del gusano). El [% CurrentDate%] aquí es la fecha actual.

Tema:
Mensaje de texto:

Oye, ahora podemos hablar con esto … 🙂
Hola
Escribí un nuevo messenger, para poder hablar con él.
Instale la cremallera autoextraíble adjunta

Mis clips de película …
Hiii
Obtuve una cámara web y capturé algunos videos de mi película.
Extraiga el autoextraíble adjunto, para verlos.
Un poco de cosas traviesas …
Oye..
Tengo algunos grandes clips de películas eróticas incluidas en el extraíble

Descargué estos MP3s ayer …
Hola …
Oye, son realmente geniales … Extrae la cremallera autoextraíble para verlos …

Sólo un poco de cosas malas de mí …
Hehehe …
Mira el pastel que preparé para ti … adiós 4 ahora amigo …

Advertencia de virus..
Oye, cuídate …
Envía este correo a todos tus conocidos. Hoy, [% CurrentDate%] FBI
anunció que un virus grave se está propagando. Es un archivo con un .VBS
extensión, al igual que Love Bug. Ver el zip para ello

Un problema comercial.
Señor,
Mi compañía está interesada en las oportunidades de crear un nuevo
asociación con usted. La presentación está adjuntada, amablemente véala y responde pronto.

Aviso Legal..
Señor señora
Nuestro cliente nos obliga a enviarle un aviso legal con fecha
[%Fecha actual%]. Amablemente vea los detalles adjuntos, y responda tan pronto como sea posible

Tarjeta de felicitación 4 You ..
Greeeeetings ..
Espero que estés bien. Ver el ECard adjunto 4 usted ..

Cuando el archivo EXE del gusano se ejecuta desde el archivo adjunto, se copia en los directorios del sistema de Windows y Windows con SysTray.exe y SysCheck.exe como nombres, y registra estos archivos en la sección de ejecución automática del registro de Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =% WindowsDir% SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =% SystemDir% SysCheck.exe

nota: el SYSTRAY.EXE original se encuentra en el directorio del sistema de Windows, no en el directorio de Windows como lo hace el gusano.

Para ocultar su actividad, el gusano muestra el siguiente mensaje:

Microsoft Windows
La aplicación% ApplicationName% provocó un error de protección general en
módulo Kernel.exe, y se terminará. Presione OK para continuar
[ OKAY ]

donde% ApplicationName% es el nombre del archivo del gusano.

El 4 de cualquier mes, al ejecutarse antes de las 5 a. M., El gusano sobrescribe el archivo C: AUTOEXEC.BAT con un troyano que borra todos los archivos "C: Mis documentos" y * .DLL en los directorios C: Windows . El código de Troya también muestra los siguientes mensajes:

Espere mientras se configuran los archivos de actualización. Esto puede tomar unos pocos minutos..
Ahora cargando Windows …

El gusano también tiene un componente de puerta trasera que "abre" la computadora afectada para un hacker remoto. La rutina de puerta trasera permite:

informe de unidades en el sistema, directorios y archivos en unidades
leer, escribir, copiar, borrar un archivo
cambiar, crear, eliminar un directorio
leer, escribir claves de registro
enviar correo electrónico a una dirección especificada
ejecutar un archivo
forzar a Windows a salir

El código del gusano contiene el texto "servidor 3DStars", dando así el nombre del gusano.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de Internet que se propaga a través del correo electrónico como un archivo adjunto EXE. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 70 Kb de longitud y está escrito en VisualBasic. El gusano tiene muchos errores, y en muchos casos (¿en todos los casos, en cualquier entorno?), No funciona correctamente: el archivo del gusano no está adjunto a los mensajes salientes, y el texto del mensaje parece diferente de lo que el gusano intenta. Para propagarse desde una computadora afectada, el gusano usa MS Outlook, obtiene direcciones de la libreta de direcciones de MS Outlook y de la libreta de direcciones de Windows, y envía mensajes allí. El gusano también envía un mensaje infectado a vb.master@angelfire.com cada vez que se ejecuta la rutina de propagación. El mensaje Asunto y Cuerpo debería aparecer de la siguiente manera (no lo hacen debido a un error en el código del gusano). El [% CurrentDate%] aquí es la fecha actual. Tema: Mensaje de texto: Oye, ahora podemos hablar con esto … 🙂 Hola Escribí un nuevo messenger, para poder hablar con él. Instale la cremallera autoextraíble adjunta Mis clips de película … Hiii Obtuve una cámara web y capturé algunos videos de mi película. Extraiga el autoextraíble adjunto, para verlos. Un poco de cosas traviesas … Oye.. Tengo algunos grandes clips de películas eróticas incluidas en el extraíble Descargué estos MP3s ayer … Hola … Oye, son realmente geniales … Extrae la cremallera autoextraíble para verlos … Sólo un poco de cosas malas de mí … Hehehe … Mira el pastel que preparé para ti … adiós 4 ahora amigo … Advertencia de virus.. Oye, cuídate … Envía este correo a todos tus conocidos. Hoy, [% CurrentDate%] FBI anunció que un virus grave se está propagando. Es un archivo con un .VBS extensión, al igual que Love Bug. Ver el zip para ello Un problema comercial. Señor, Mi compañía está interesada en las oportunidades de crear un nuevo asociación con usted. La presentación está adjuntada, amablemente véala y responde pronto. Aviso Legal.. Señor señora Nuestro cliente nos obliga a enviarle un aviso legal con fecha [%Fecha actual%]. Amablemente vea los detalles adjuntos, y responda tan pronto como sea posible Tarjeta de felicitación 4 You .. Greeeeetings .. Espero que estés bien. Ver el ECard adjunto 4 usted .. Cuando el archivo EXE del gusano se ejecuta desde el archivo adjunto, se copia en los directorios del sistema de Windows y Windows con SysTray.exe y SysCheck.exe como nombres, y registra estos archivos en la sección de ejecución automática del registro de Windows: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray =% WindowsDir% SysTray.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemCheck =% SystemDir% SysCheck.exe nota: el SYSTRAY.EXE original se encuentra en el directorio del sistema de Windows, no en el directorio de Windows como lo hace el gusano. Para ocultar su actividad, el gusano muestra el siguiente mensaje: Microsoft Windows La aplicación% ApplicationName% provocó un error de protección general en módulo Kernel.exe, y se terminará. Presione OK para continuar [ OKAY ] donde% ApplicationName% es el nombre del archivo del gusano. El 4 de cualquier mes, al ejecutarse antes de las 5 a. M., El gusano sobrescribe el archivo C: AUTOEXEC.BAT con un troyano que borra todos los archivos "C: Mis documentos" y * .DLL en los directorios C: Windows . El código de Troya también muestra los siguientes mensajes: Espere mientras se configuran los archivos de actualización. Esto puede tomar unos pocos minutos.. Ahora cargando Windows … El gusano también tiene un componente de puerta trasera que "abre" la computadora afectada para un hacker remoto. La rutina de puerta trasera permite: informe de unidades en el sistema, directorios y archivos en unidades leer, escribir, copiar, borrar un archivo cambiar, crear, eliminar un directorio leer, escribir claves de registro enviar correo electrónico a una dirección especificada ejecutar un archivo forzar a Windows a salir El código del gusano contiene el texto "servidor 3DStars", dando así el nombre del gusano.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.3DStars

Detalles técnicos