Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Burnox es un virus de gusano que se propaga a través de Internet como un archivo adjunto en correos electrónicos infectados y se propaga a través de la red de intercambio de archivos de Kazaa. El gusano también descarga desde un sitio web e instala un troyano de puerta trasera en el sistema.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 4 KB de tamaño (cuando está comprimido por FSG, el tamaño descomprimido es de aproximadamente 20 KB) y está escrito en Visual Basic.

Instalación

Durante la instalación, el gusano se copia en el directorio de sistema de Windows con el nombre "MicrosoftUpdate.com" y registra este archivo en la clave de ejecución automática del registro del sistema:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com

donde% SystemDir% es la ruta del directorio del sistema de Windows.

El gusano también crea una clave de registro del sistema donde guarda su contador:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

el% contador% se establece en '1' y se incrementa con cada inicio de cada gusano. Dependiendo de este contador, el gusano activa sus rutinas de propagación.

Difundir: EMail

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Los mensajes infectados tienen el siguiente texto de campo:

 Asunto: Importante: Microsoft Windows Patch para Xp, 2k, ME, 98,95.

 Cuerpo:      

   Microsoft acaba de lanzar este parche para todas las versiones de Microsoft Windows.
   ¡Esta actualización corrige muchas de las vulnerabilidades recientes!
   Se recomienda que aplique un parche a su sistema operativo ahora. Aunque no es obligatorio.

   * Tenga en cuenta * Este no es el parche de Microsoft real. El programa adjunto es Microsoft Update

 Adjuntar: MicrosoftUpdate.com

El gusano se activa a partir de correos electrónicos infectados solo en caso de que un usuario haga clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta rutinas de propagación.

Difundir: KaZaa

El gusano crea un subdirectorio con el nombre "system16" en el directorio de sistema de Windows y se copia allí con los nombres:

   kmd.exe Game Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   Aplicación icq2003Final.exe Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe Burn juegos ps2 en un solo CD-R.exe
   icq crack.exe Juegos trainer.exe Burn ps2.exe                       
   aim crack.exe Trainer.exe quemar xbox.exe                      
   icq lite.exe Cheat.exe quemadura dreamcast.exe                 
   imeshv2.exe Juego Hack.exe

El directorio "system16" se registra luego como recurso de intercambio de archivos Kazaa.

Instalación del Backdoor Trojan

El gusano descarga el "Backdoor.Slackbot" del sitio web http://www.wawater.com, lo almacena en el archivo "c: unxrt.exe" y lo ejecuta.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Burnox es un virus de gusano que se propaga a través de Internet como un archivo adjunto en correos electrónicos infectados y se propaga a través de la red de intercambio de archivos de Kazaa. El gusano también descarga desde un sitio web e instala un troyano de puerta trasera en el sistema. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 4 KB de tamaño (cuando está comprimido por FSG, el tamaño descomprimido es de aproximadamente 20 KB) y está escrito en Visual Basic. Instalación Durante la instalación, el gusano se copia en el directorio de sistema de Windows con el nombre "MicrosoftUpdate.com" y registra este archivo en la clave de ejecución automática del registro del sistema: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com donde% SystemDir% es la ruta del directorio del sistema de Windows. El gusano también crea una clave de registro del sistema donde guarda su contador: HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter% el% contador% se establece en '1' y se incrementa con cada inicio de cada gusano. Dependiendo de este contador, el gusano activa sus rutinas de propagación. Difundir: EMail Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Los mensajes infectados tienen el siguiente texto de campo: Asunto: Importante: Microsoft Windows Patch para Xp, 2k, ME, 98,95. Cuerpo: Microsoft acaba de lanzar este parche para todas las versiones de Microsoft Windows. ¡Esta actualización corrige muchas de las vulnerabilidades recientes! Se recomienda que aplique un parche a su sistema operativo ahora. Aunque no es obligatorio. * Tenga en cuenta * Este no es el parche de Microsoft real. El programa adjunto es Microsoft Update Adjuntar: MicrosoftUpdate.com El gusano se activa a partir de correos electrónicos infectados solo en caso de que un usuario haga clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta rutinas de propagación. Difundir: KaZaa El gusano crea un subdirectorio con el nombre "system16" en el directorio de sistema de Windows y se copia allí con los nombres: kmd.exe Game Trainer.exe Hacker.exe icq2003a.exe Game.exe Hacks.exe icq2003b.exe App.exe xbox Hacker.exe Aplicación icq2003Final.exe Crack.exe Ps2 Bios Emulation.exe icq2002a.exe Cracker.exe xbox Bios Hack.exe icq2003a.exe Games.exe Burn juegos ps2 en un solo CD-R.exe icq crack.exe Juegos trainer.exe Burn ps2.exe aim crack.exe Trainer.exe quemar xbox.exe icq lite.exe Cheat.exe quemadura dreamcast.exe imeshv2.exe Juego Hack.exe El directorio "system16" se registra luego como recurso de intercambio de archivos Kazaa. Instalación del Backdoor Trojan El gusano descarga el "Backdoor.Slackbot" del sitio web http://www.wawater.com, lo almacena en el archivo "c: unxrt.exe" y lo ejecuta.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Burnox

Detalles técnicos

Instalación

Difundir: EMail

Difundir: KaZaa

Instalación del Backdoor Trojan