ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.FunnyPics

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este virus se propaga a través de Internet como un archivo adjunto a mensajes infectados. El gusano en sí es un archivo EXE de Windows PE de 14136 bytes de tamaño.

Instalación

El gusano se copia en el directorio raíz de Windows como brsh32.exe:

 % WinDir% brsh32.exe 

A continuación, registra este archivo en el registro del sistema de Windows como un nuevo servicio. Esto asegura que el gusano se lanzará cada vez que Windows se reinicie en la máquina víctima:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
 "brsh32Service" = "% WinDir% brsh32.exe -q" 

El gusano:

  1. difundir por correo electrónico
  2. hacer posible la administración remota de la máquina víctima a través de una puerta trasera

El gusano se envía a las direcciones de correo electrónico recogidas de la máquina víctima.

Al enviar mensajes infectados, el gusano establece una conexión directa con el servidor SMTP del destinatario.

Asunto del email

El sujeto del mensaje se elige al azar de la siguiente lista:

  • ¿Estás listo para disfrutar?
  • ¿Quieres reírte?
  • Descarga fotos divertidas gratis!
  • ¡descarga protectores de pantalla gratis!
  • Fotos gratis y protectores de pantalla
  • protector de pantalla gratuito
  • fotos divertidas está en línea otra vez!
  • Oferta especial de funnypics
  • ¡Huff FUERA!
  • humor en línea
  • pedazo de diversión!
  • Escucha al Dr. Fun
  • fotos y protectores de pantalla
  • ¿Listo? ¿estable? ¡risa!
  • Guarde su pantalla!
  • ¿lo que quieres ver?

Contenido del correo electrónico

El cuerpo del mensaje no cambia, y es el siguiente:

Funny Pics Inc. contraataca con más cosas gratis. ¡Visita nuestro nuevo sitio web con muchas fotos divertidas y nuevos salvapantallas como este! www.funnypics.com

Adjunto archivo

El gusano envía una copia de sí mismo en el siguiente archivo adjunto:% windir% brsh32.exe. Sin embargo, disfraza este archivo como una imagen de www.funnypics.com.

El nombre del archivo adjunto se elige al azar de la siguiente lista:

  • billBates.scr
  • bzzz.scr
  • funnyPic.scr
  • intelAside.scr
  • kennyIsAlive.scr
  • mac0s.scr
  • matriz-SP.scr
  • mrBrown.scr
  • nastyPokemon.scr
  • paradise.scr
  • phantomMenaze.scr
  • southPark.scr
  • SouthParkOuttaSpace.scr
  • starWarz.scr
  • waaazUp.scr
  • x-filez.scr

Carga útil

El gusano abrirá un puerto TCP entre 8000 y 8255 (elegido al azar) y escuchará los comandos.

Esto proporciona a un usuario malicioso remoto acceso total a la máquina de la víctima, lo que permite obtener información de la máquina víctima, descargar, iniciar y eliminar archivos.

Instrucciones de eliminación

  1. Elimine la siguiente clave de registro:
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
    "brsh32Service" = "% WinDir% brsh32.exe -q"
  2. Usando el Administrador de tareas, detenga el proceso llamado brsh32.exe.
  3. Elimine el siguiente archivo:% WinDir% brsh32.exe.
  4. Realice un escaneo completo de su computadora ( descargue la versión de prueba de Kaspersky Anti-Virus ).

Enlace al original