ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Aliz

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de virus que se propaga a través de Internet, adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 4 KB de longitud y está escrito en Ensamblador. El código del gusano principal se comprime mediante un algoritmo de compresión de datos aPLib incorporado, por lo que el código del gusano original es de aproximadamente 6 Kb.

Los mensajes infectados contienen:

Asunto : diferente (ver abajo)
Cuerpo : mensaje HTML vacío
Adjuntar : whatever.exe

El sujeto se construye al azar a partir de variantes (str1 + str2 + … + str5):

 str1
 ----

 Fw:
 Fw: Re:

entonces:

 str2 str3 str4 str5
 ---- ---- ---- ----

 Sitio web genial para comprobar !!      
 ¡Un buen sitio para ti!       
 Fotos calientes que encontré :-)     
 algunas direcciones URL para ver?      
 Fotos divertidas aquí jeje ;-)
 cosas raras - compruébalo              
 funky mp3s                                
 gran mierda                                
 Música interesante                               
 mucha información                                

Para ejecutar desde un mensaje infectado, el gusano usa una brecha de seguridad (vulnerabilidad IFRAME, similar a la utilizada por el gusano "Nimda" ). Por lo tanto, el gusano se puede activar desde el correo electrónico infectado simplemente al leer o ver el mensaje.

Cuando se ejecuta un archivo infectado, la rutina de desempaquetado toma el control, desempaqueta el código principal del gusano en la memoria y salta hacia él. El código principal luego envía mensajes infectados a direcciones de correo electrónico encontradas en WAB (libreta de direcciones de Windows). Para enviar correos electrónicos, el gusano se conecta al servidor SMTP por defecto.

El gusano no se instala en el sistema y ya no se activa (excepto en los casos en que un usuario vuelve a hacer clic en un correo electrónico adjunto).

El gusano no tiene rutina de carga y no se manifiesta de ninguna manera.

La rutina de distribución de correo electrónico contiene errores débiles, y parece que el gusano no se puede propagar en muchas configuraciones de cliente-servidor de correo electrónico.

Lo más interesante de gusano es el hecho de que la rutina de activación y propagación (esta es la rutina principal) está llena en aproximadamente 3K de código ejecutable.

El gusano contiene el siguiente texto:

::: iworm.alizee.by.mar00n! ikx2oo1 :::
Mientras escribo este texto me doy cuenta de que este texto se agregó en muchos sitios de descripción de av, porque este gusano tonto podría ser fácilmente una exageración. Me pregunto qué AV afirma que '[companyname] detuvo el gusano de alto riesgo antes de que pudiera escapar!' o mierda así. heh, o boicotean mi virus a causa de este texto. bueno, es bastante fácil para las pobres av agregar este gusano; ya que solo se lanzó como fuente en coderz # 2 … btw, loveletter * 2 power en win32asm puro y solo en un archivo exe 4k. heh, vbs kiddies, phear win32asm. 🙂 thx a: abejorro! 29a, asmodeus! ikx. saluda a: starzer0! ikx, t-2000! ir, ultras! mtx y sweet gigabyte … btw, burgemeester van sneek: ik zoek nog een baantje … (alignmentfillingtext)


Enlace al original