ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Android

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de virus que se propaga a través de canales de Internet que se adjuntan a los mensajes de correo electrónico como el archivo ejecutable de Windows ULTRA.EXE. Este gusano está relacionado con I-Worm_Suppl .

El gusano tiene una carga útil muy peligrosa: una semana después de la infección de la computadora, el gusano borra los archivos con las siguientes extensiones en unidades locales y remotas: ICO, DOC, TXT, HTM, JPG, GIF, ZIP, RAR. El método de borrado es el mismo utilizado por el gusano I-Worm_ZippedFiles , y los archivos dañados no son recuperables.

El día 5 de cualquier mes, el gusano suelta un archivo ANDROID.BMP con el texto "ANDROID" y lo registra en el sistema como fondo de pantalla.

Instalación

Cuando un usuario activa un archivo ULTRA.EXE, el virus obtiene control y se instala en el sistema; se copia en el directorio de sistema de Windows con el nombre ANDROID.DLL; luego descarta su componente DLL (que está almacenado en el archivo EXE) en el mismo directorio con el nombre ULTRA.DLL.

El gusano luego agrega instrucciones de cambio de nombre al archivo WININIT.INI. Estas instrucciones renombran WSOCK32.DLL con el nombre WSOCK33.DLL y reemplazan el WSOCK32.DLL con la biblioteca ULTRA.DLL del gusano. Este truco hace que Windows reemplace su WSOCK32.DLL con una copia de gusano el próximo reinicio de Windows.

Al inicializar sus DLL, Windows carga una DLL infectada (de gusano) en lugar de las originales, y como resultado, el gusano obtiene acceso a las funciones de red.

Extensión

En el próximo reinicio de Windows, el WSOCK32.DLL infectado se carga en la memoria del sistema y toma el control. El gusano en este momento obtiene acceso e intercepta todas las funciones de biblioteca necesarias que hace la biblioteca original de WSOCK32. Para todos excepto dos, el gusano simplemente reenvía las solicitudes a las funciones originales, y para este fin, el gusano también carga el WSOCK33.DLL (biblioteca original) en la memoria de Windows.

Las dos funciones son procesadas por el virus: sus nombres son "enviar" y "conectar". Al usar estas funciones, el gusano intercepta los correos electrónicos enviados y adjunta su copia a estos correos electrónicos como el archivo ULTRA.EXE.


Enlace al original