ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Adrenaline

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de virus que infecta los sistemas de Windows y se propaga a través de los canales de IRC. El gusano en sí es un archivo ejecutable de Windows, escrito en MS Visual C ++ y comprimido por PECompact (el tamaño comprimido es de aproximadamente 35K, el tamaño no comprimido es de aproximadamente 65K).

Cuando se ejecuta un archivo infectado, busca los archivos EXE en el directorio de Windows y los infecta. Al infectar, el virus mueve el cuerpo del archivo hacia abajo por 35K, y luego se escribe en la parte superior del archivo. Para liberar el control al archivo de host, el virus "desinfecta" el archivo de host a HOSTFILE.EXE, lo genera y luego lo elimina. El virus presta atención a los nombres de archivo y no infecta un archivo si su nombre comienza con 'E', 'P', 'R', 'T', 'W', o la tercera letra es 'D', o la quinta letra es 'R'.

El virus también infecta archivos EXE en el directorio C: MIRCDOWNLOAD, sin prestar atención a los nombres de los archivos.

Para propagarse a través de canales IRC, el virus deja caer su imagen "pura" al directorio del sistema de Windows con el nombre BUGFIX.EXE, y sobrescribe el archivo SCRIPT.INI en el directorio del cliente mIRC. El archivo infectado SCRIPT.INI contiene solo una instrucción que envía el archivo BUGFIX.EXE a todos los que se unen al canal IRC infectado.

El virus busca el cliente mIRC en los directorios MIRC y PROGRA ~ 1MIRC en todas las unidades desde C: hasta F :.

Luego, el virus ejecuta otra rutina que envía mensajes utilizando MS Outlook. El virus no se propaga en los mensajes infectados, sino que simplemente transmite la dirección "Rhape79@ultimatechaos.demon.co.uk" con mensajes que tienen un Sujeto y un Cuerpo generados aleatoriamente. Después de cada ejecución, el virus envía 15 mensajes a esa dirección.


Enlace al original