..
Click anywhere to stop
Click anywhere to stop
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm |
Plataforma | Win32 |
Descripción |
Detalles técnicosEste es un gusano de virus que se propaga a través de Internet, adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 4 KB de longitud y está escrito en Ensamblador. El código del gusano principal se comprime mediante un algoritmo de compresión de datos aPLib incorporado, por lo que el código del gusano original es de aproximadamente 6 Kb. Los mensajes infectados contienen:
El sujeto se construye al azar a partir de variantes (str1 + str2 + … + str5): str1 ---- Fw: Fw: Re:entonces: str2 str3 str4 str5 ---- ---- ---- ---- Sitio web genial para comprobar !! ¡Un buen sitio para ti! Fotos calientes que encontré :-) algunas direcciones URL para ver? Fotos divertidas aquí jeje ;-) cosas raras - compruébalo funky mp3s gran mierda Música interesante mucha información Para ejecutar desde un mensaje infectado, el gusano usa una brecha de seguridad (vulnerabilidad IFRAME, similar a la utilizada por el gusano "Nimda" ). Por lo tanto, el gusano se puede activar desde el correo electrónico infectado simplemente al leer o ver el mensaje. Cuando se ejecuta un archivo infectado, la rutina de desempaquetado toma el control, desempaqueta el código principal del gusano en la memoria y salta hacia él. El código principal luego envía mensajes infectados a direcciones de correo electrónico encontradas en WAB (libreta de direcciones de Windows). Para enviar correos electrónicos, el gusano se conecta al servidor SMTP por defecto. El gusano no se instala en el sistema y ya no se activa (excepto en los casos en que un usuario vuelve a hacer clic en un correo electrónico adjunto). El gusano no tiene rutina de carga y no se manifiesta de ninguna manera. La rutina de distribución de correo electrónico contiene errores débiles, y parece que el gusano no se puede propagar en muchas configuraciones de cliente-servidor de correo electrónico. Lo más interesante de gusano es el hecho de que la rutina de activación y propagación (esta es la rutina principal) está llena en aproximadamente 3K de código ejecutable. El gusano contiene el siguiente texto:
|
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |