ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Calposa

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Calposa es un virus gusano que se propaga a través de Internet como un archivo adjunto a correos electrónicos infectados, así como a través de la red de intercambio de archivos Kazaa. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 KB de longitud y está escrito en Visual Basic.

Los mensajes de correo electrónico infectados tienen los siguientes atributos:

Asunto: ¡Los programas antivirus están dañando su software!

Cuerpo:

¿Quieres saber por qué recibes correo no deseado? ¡Bien, aquí hay una prueba de que los antivirus están corrompiendo sus programas y venden su información privada a la empresa web! ¿Por qué crees que hay tantos virus por ahí? ¡bien es esta compañía que los diseminó y luego le vendió allí producto para eliminarlos! compruébalo ahora … (ps está conectado)

Adjuntar: ActiveX.exe o Telnet.exe o MSWord.exe

El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta su rutina de propagación y carga útil.

Instalación
Durante la instalación, el gusano se copia al sistema con los siguientes nombres:

C: WindowsActiveX.exe
C: WindowsSCR.exe
C: WindowsExplorer.exe
C: WindowsTelnet.exe
C: WindowsMSWord.exe
C: WindowsFUCK_AVs.exe
C: Windowsregedit.exe
C: WindowsMixer.exe
C: WINDOWSSystemExplorer.exe

El gusano no registra ninguno de estos archivos ni en la clave de ejecución automática del registro del sistema, ni en ninguna otra clave o comando de "ejecución automática".

Difundir: correo electrónico
Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

Difundir: Kazaa
El gusano se copia en el directorio "C: Archivos de programaKaZaaMy Shared Folder" con los siguientes nombres:

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

Si este directorio es un directorio de intercambio de archivos Kazaa, el gusano se extenderá a través de la red Kazaa.

Carga útil
El gusano muestra el mensaje:

UH OH WORM!
… Calposa por Industry @ ANVXgroup …

El gusano escribe en el archivo "c: WindowsSystem.ini" a continuación de los datos:

[Acerca de]
Autor = Industria
VXgroup = ANVXgroup (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Grita a = Indovirus, mANiAC89, Retro, Iwing y todos los demás.
Joder = ¡A la mierda todos los AV's, te mantenemos en un trabajo así que danos un poco de holgura!
Para el resto = ANVX el único!

El 1 de abril, el gusano borra todos los archivos en los siguientes directorios:

 C: Windows C: WindowsSystem32 C: WindowsSystem C: Windowsinf C: Archivos de programaKazaa 

luego borra el archivo:

 C: AutoExec.bat

y muestra el mensaje:

Industria … ping? ¡apestar!…

El 16 de febrero, el gusano muestra una imagen de color rojo con un texto "ANVX por industria" .

El 2 de abril, el gusano muestra el mensaje:

UH OH WORM! … Segundo lanzamiento de la industria …


Enlace al original