Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un virus-gusano que se propaga a través de Internet adjunto a archivos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 36 Kb de longitud y está escrito en Visual Basic Script.

El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta una rutina de propagación y una carga útil.

Instalación

Durante la instalación, el gusano se copia a sí mismo:

al directorio de Windows, al directorio del sistema de Windows y a la raíz de la unidad C: con el nombre `.EXE al directorio TEMP de Windows, con un nombre que depende de la versión del gusano:

FF8.EXE
FunnyFlash.EXE

El archivo C: `.EXE se registra luego en la clave de ejecución automática del registro del sistema:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe

y en el archivo SYSTEM.INI de Windows, sección [inicio], en el comando de ejecución automática "shell".

Extensión

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

El nombre del sujeto, el cuerpo y el archivo adjunto son diferentes en las versiones conocidas de gusanos:

Asunto / Cuerpo / Adjuntar:

Microsoft Shockwave Flash Movie
Comprueba "Family.exe" y verás la película Shockwave Flash de la familia de Microsoft.
FamilyMovie.exe

CoolGame de% UserName%
el genial juego sobre Final Fantasy VIII 🙂
FF8.EXE

FunnyFlashMovie de% UserName%
la película flash, ¡compruébalo! 🙂
FunnyFlash.EXE

donde% UserName% es el nombre de la máquina afectada.

Fintas.a

La primera versión conocida del gusano, después de la propagación del correo electrónico, elimina los archivos en el siguiente directorio de Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys, luego los archivos: C: IO.SYS, C: NETWORK.LOG. A continuación, copia la copia del gusano a J: unidad de red (si existe).

El gusano crea y genera dos archivos VBS: "c: passwd.vbs" y "c: leo.vbs", y luego muestra el siguiente mensaje:

El archivo LEO.VBS busca los siguientes archivos: .html .htm .asp .php .dll .com .txt .doc .xls .exe y los sobrescribe con el texto:

¡Hola! Yo soy Leo

El archivo PASSWD.VBS busca archivos .PWL (contraseñas) y los envía al correo electrónico "leotam888@china.com" con un asunto "mypasswd".

Carga útil – otras versiones

El día 23 de cualquier mes, el gusano ejecuta su rutina de carga útil (que tiene efecto únicamente en los sistemas Win9x). Escribe, en un archivo C: MSDOS.SYS, una instrucción que deshabilita el proceso de inicio de Windows detener y rastrear, y luego sobrescribe un archivo C: AUTOEXEC.BAT con instrucciones que formateará todas las unidades de C: a Z: a partir de reinicio de la próxima máquina

Entonces el gusano muestra el mensaje:

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un virus-gusano que se propaga a través de Internet adjunto a archivos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 36 Kb de longitud y está escrito en Visual Basic Script. El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta una rutina de propagación y una carga útil. Instalación Durante la instalación, el gusano se copia a sí mismo: al directorio de Windows, al directorio del sistema de Windows y a la raíz de la unidad C: con el nombre `.EXE al directorio TEMP de Windows, con un nombre que depende de la versión del gusano: FF8.EXE FunnyFlash.EXE El archivo C: `.EXE se registra luego en la clave de ejecución automática del registro del sistema: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c: `.exe y en el archivo SYSTEM.INI de Windows, sección [inicio], en el comando de ejecución automática "shell". Extensión Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. El nombre del sujeto, el cuerpo y el archivo adjunto son diferentes en las versiones conocidas de gusanos: Asunto / Cuerpo / Adjuntar: Microsoft Shockwave Flash Movie Comprueba "Family.exe" y verás la película Shockwave Flash de la familia de Microsoft. FamilyMovie.exe CoolGame de% UserName% el genial juego sobre Final Fantasy VIII 🙂 FF8.EXE FunnyFlashMovie de% UserName% la película flash, ¡compruébalo! 🙂 FunnyFlash.EXE donde% UserName% es el nombre de la máquina afectada. Fintas.a La primera versión conocida del gusano, después de la propagación del correo electrónico, elimina los archivos en el siguiente directorio de Windows: REGEDIT.EXE, SYSTEM.INI, WIN.INI, COMMANDEBDio.sys, luego los archivos: C: IO.SYS, C: NETWORK.LOG. A continuación, copia la copia del gusano a J: unidad de red (si existe). El gusano crea y genera dos archivos VBS: "c: passwd.vbs" y "c: leo.vbs", y luego muestra el siguiente mensaje: El archivo LEO.VBS busca los siguientes archivos: .html .htm .asp .php .dll .com .txt .doc .xls .exe y los sobrescribe con el texto: ¡Hola! Yo soy Leo El archivo PASSWD.VBS busca archivos .PWL (contraseñas) y los envía al correo electrónico "leotam888@china.com" con un asunto "mypasswd". Carga útil – otras versiones El día 23 de cualquier mes, el gusano ejecuta su rutina de carga útil (que tiene efecto únicamente en los sistemas Win9x). Escribe, en un archivo C: MSDOS.SYS, una instrucción que deshabilita el proceso de inicio de Windows detener y rastrear, y luego sobrescribe un archivo C: AUTOEXEC.BAT con instrucciones que formateará todas las unidades de C: a Z: a partir de reinicio de la próxima máquina Entonces el gusano muestra el mensaje:
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Fintas

Detalles técnicos