ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Burnox

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Burnox es un virus de gusano que se propaga a través de Internet como un archivo adjunto en correos electrónicos infectados y se propaga a través de la red de intercambio de archivos de Kazaa. El gusano también descarga desde un sitio web e instala un troyano de puerta trasera en el sistema.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 4 KB de tamaño (cuando está comprimido por FSG, el tamaño descomprimido es de aproximadamente 20 KB) y está escrito en Visual Basic.

Instalación

Durante la instalación, el gusano se copia en el directorio de sistema de Windows con el nombre "MicrosoftUpdate.com" y registra este archivo en la clave de ejecución automática del registro del sistema:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com

donde% SystemDir% es la ruta del directorio del sistema de Windows.

El gusano también crea una clave de registro del sistema donde guarda su contador:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

el% contador% se establece en '1' y se incrementa con cada inicio de cada gusano. Dependiendo de este contador, el gusano activa sus rutinas de propagación.

Difundir: EMail

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Los mensajes infectados tienen el siguiente texto de campo:

 Asunto: Importante: Microsoft Windows Patch para Xp, 2k, ME, 98,95.

 Cuerpo:      

   Microsoft acaba de lanzar este parche para todas las versiones de Microsoft Windows.
   ¡Esta actualización corrige muchas de las vulnerabilidades recientes!
   Se recomienda que aplique un parche a su sistema operativo ahora. Aunque no es obligatorio.

   * Tenga en cuenta * Este no es el parche de Microsoft real. El programa adjunto es Microsoft Update

 Adjuntar: MicrosoftUpdate.com

El gusano se activa a partir de correos electrónicos infectados solo en caso de que un usuario haga clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta rutinas de propagación.

Difundir: KaZaa

El gusano crea un subdirectorio con el nombre "system16" en el directorio de sistema de Windows y se copia allí con los nombres:

   kmd.exe Game Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   Aplicación icq2003Final.exe Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Burn juegos ps2 en un solo CD-R.exe
   icq crack.exe Juegos trainer.exe Burn ps2.exe                       
   aim crack.exe Trainer.exe quemar xbox.exe                      
   icq lite.exe Cheat.exe quemadura dreamcast.exe                 
   imeshv2.exe Juego Hack.exe   

El directorio "system16" se registra luego como recurso de intercambio de archivos Kazaa.

Instalación del Backdoor Trojan

El gusano descarga el "Backdoor.Slackbot" del sitio web http://www.wawater.com, lo almacena en el archivo "c: unxrt.exe" y lo ejecuta.


Enlace al original