ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.3DStars

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de Internet que se propaga a través del correo electrónico como un archivo adjunto EXE. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 70 Kb de longitud y está escrito en VisualBasic. El gusano tiene muchos errores, y en muchos casos (¿en todos los casos, en cualquier entorno?), No funciona correctamente: el archivo del gusano no está adjunto a los mensajes salientes, y el texto del mensaje parece diferente de lo que el gusano intenta.

Para propagarse desde una computadora afectada, el gusano usa MS Outlook, obtiene direcciones de la libreta de direcciones de MS Outlook y de la libreta de direcciones de Windows, y envía mensajes allí. El gusano también envía un mensaje infectado a vb.master@angelfire.com cada vez que se ejecuta la rutina de propagación.

El mensaje Asunto y Cuerpo debería aparecer de la siguiente manera (no lo hacen debido a un error en el código del gusano). El [% CurrentDate%] aquí es la fecha actual.

Tema:
Mensaje de texto:

Oye, ahora podemos hablar con esto … 🙂
Hola
Escribí un nuevo messenger, para poder hablar con él.
Instale la cremallera autoextraíble adjunta

Mis clips de película …
Hiii
Obtuve una cámara web y capturé algunos videos de mi película.
Extraiga el autoextraíble adjunto, para verlos.
Un poco de cosas traviesas …
Oye..
Tengo algunos grandes clips de películas eróticas incluidas en el extraíble

Descargué estos MP3s ayer …
Hola …
Oye, son realmente geniales … Extrae la cremallera autoextraíble para verlos …

Sólo un poco de cosas malas de mí …
Hehehe …
Mira el pastel que preparé para ti … adiós 4 ahora amigo …

Advertencia de virus..
Oye, cuídate …
Envía este correo a todos tus conocidos. Hoy, [% CurrentDate%] FBI
anunció que un virus grave se está propagando. Es un archivo con un .VBS
extensión, al igual que Love Bug. Ver el zip para ello

Un problema comercial.
Señor,
Mi compañía está interesada en las oportunidades de crear un nuevo
asociación con usted. La presentación está adjuntada, amablemente véala y responde pronto.

Aviso Legal..
Señor señora
Nuestro cliente nos obliga a enviarle un aviso legal con fecha
[%Fecha actual%]. Amablemente vea los detalles adjuntos, y responda tan pronto como sea posible

Tarjeta de felicitación 4 You ..
Greeeeetings ..
Espero que estés bien. Ver el ECard adjunto 4 usted ..

Cuando el archivo EXE del gusano se ejecuta desde el archivo adjunto, se copia en los directorios del sistema de Windows y Windows con SysTray.exe y SysCheck.exe como nombres, y registra estos archivos en la sección de ejecución automática del registro de Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =% WindowsDir% SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =% SystemDir% SysCheck.exe

nota: el SYSTRAY.EXE original se encuentra en el directorio del sistema de Windows, no en el directorio de Windows como lo hace el gusano.

Para ocultar su actividad, el gusano muestra el siguiente mensaje:

Microsoft Windows
La aplicación% ApplicationName% provocó un error de protección general en
módulo Kernel.exe, y se terminará. Presione OK para continuar
[ OKAY ]

donde% ApplicationName% es el nombre del archivo del gusano.

El 4 de cualquier mes, al ejecutarse antes de las 5 a. M., El gusano sobrescribe el archivo C: AUTOEXEC.BAT con un troyano que borra todos los archivos "C: Mis documentos" y * .DLL en los directorios C: Windows . El código de Troya también muestra los siguientes mensajes:

Espere mientras se configuran los archivos de actualización. Esto puede tomar unos pocos minutos..
Ahora cargando Windows …

El gusano también tiene un componente de puerta trasera que "abre" la computadora afectada para un hacker remoto. La rutina de puerta trasera permite:

informe de unidades en el sistema, directorios y archivos en unidades
leer, escribir, copiar, borrar un archivo
cambiar, crear, eliminar un directorio
leer, escribir claves de registro
enviar correo electrónico a una dirección especificada
ejecutar un archivo
forzar a Windows a salir

El código del gusano contiene el texto "servidor 3DStars", dando así el nombre del gusano.


Enlace al original