ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Calil

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Calil es un gusano de Internet que se propaga a través de Internet como un archivo adjunto a mensajes de correo electrónico infectados.

El gusano envía mensajes con las siguientes propiedades:

Asunto: FW: FW: video del proyecto LILAC adjuntar
Nombre del archivo adjunto: LILAC_WHAT_A_WONDERFULNAME.avi
Tamaño de archivo adjunto: 12208 bytes
Cuerpo del mensaje: cosas que el gobierno. no quiero que sepas

Instalación
Cuando el gusano se inicia en una computadora por primera vez, intenta copiarse en las siguientes ubicaciones codificadas:

c: win98tempLILAC_WHAT_A_WONDERFULNAME.avi c: windowstempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: win95tempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winnttempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winmetempLILAC_WHAT_A_WONDERFULNAME.avi.exe c: winxptempLILAC_WHAT_A_WONDERFULNAME.avi.exe

Calil lanza una copia de sí mismo, automáticamente al reiniciar Windows escribiendo el siguiente valor de registro:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Lilac = (una de las rutas especificadas arriba)

A continuación, el gusano muestra un mensaje de error falso:

Windows Error54: Media Player no instalado correctamente

Replicación
El gusano obtiene direcciones de correo electrónico de las libretas de direcciones de Windows y Outlook, y envía mensajes infectados a estas direcciones. Utiliza Outlook para enviar mensajes infectados. Otro
Calil cambia la información del propietario registrado del sistema escribiendo los siguientes valores de registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = xEnOcrAtEs LegalNoticeCaption = Propiedad de: LegalNoticeText = Propiedad de: xEnOcrAtEs

Esto obliga a Windows a mostrar el siguiente mensaje al iniciar:

Propiedad de: xEnOcrAtEs


Enlace al original