Kaspersky Threats — FunnyPics

Clase

Plataforma

Descripción

Detalles técnicos

Este virus se propaga a través de Internet como un archivo adjunto a mensajes infectados. El gusano en sí es un archivo EXE de Windows PE de 14136 bytes de tamaño.

Instalación

El gusano se copia en el directorio raíz de Windows como brsh32.exe:

 % WinDir% brsh32.exe

A continuación, registra este archivo en el registro del sistema de Windows como un nuevo servicio. Esto asegura que el gusano se lanzará cada vez que Windows se reinicie en la máquina víctima:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
 "brsh32Service" = "% WinDir% brsh32.exe -q"

El gusano:

difundir por correo electrónico
hacer posible la administración remota de la máquina víctima a través de una puerta trasera

El gusano se envía a las direcciones de correo electrónico recogidas de la máquina víctima.

Al enviar mensajes infectados, el gusano establece una conexión directa con el servidor SMTP del destinatario.

Asunto del email

El sujeto del mensaje se elige al azar de la siguiente lista:

¿Estás listo para disfrutar?
¿Quieres reírte?
Descarga fotos divertidas gratis!
¡descarga protectores de pantalla gratis!
Fotos gratis y protectores de pantalla
protector de pantalla gratuito
fotos divertidas está en línea otra vez!
Oferta especial de funnypics
¡Huff FUERA!
humor en línea
pedazo de diversión!
Escucha al Dr. Fun
fotos y protectores de pantalla
¿Listo? ¿estable? ¡risa!
Guarde su pantalla!
¿lo que quieres ver?

Contenido del correo electrónico

El cuerpo del mensaje no cambia, y es el siguiente:

Funny Pics Inc. contraataca con más cosas gratis. ¡Visita nuestro nuevo sitio web con muchas fotos divertidas y nuevos salvapantallas como este! www.funnypics.com

Adjunto archivo

El gusano envía una copia de sí mismo en el siguiente archivo adjunto:% windir% brsh32.exe. Sin embargo, disfraza este archivo como una imagen de www.funnypics.com.

El nombre del archivo adjunto se elige al azar de la siguiente lista:

billBates.scr
bzzz.scr
funnyPic.scr
intelAside.scr
kennyIsAlive.scr
mac0s.scr
matriz-SP.scr
mrBrown.scr
nastyPokemon.scr
paradise.scr
phantomMenaze.scr
southPark.scr
SouthParkOuttaSpace.scr
starWarz.scr
waaazUp.scr
x-filez.scr

Carga útil

El gusano abrirá un puerto TCP entre 8000 y 8255 (elegido al azar) y escuchará los comandos.

Esto proporciona a un usuario malicioso remoto acceso total a la máquina de la víctima, lo que permite obtener información de la máquina víctima, descargar, iniciar y eliminar archivos.

Instrucciones de eliminación

Elimine la siguiente clave de registro:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
"brsh32Service" = "% WinDir% brsh32.exe -q"
Usando el Administrador de tareas, detenga el proceso llamado brsh32.exe.
Elimine el siguiente archivo:% WinDir% brsh32.exe.
Realice un escaneo completo de su computadora ( descargue la versión de prueba de Kaspersky Anti-Virus ).

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este virus se propaga a través de Internet como un archivo adjunto a mensajes infectados. El gusano en sí es un archivo EXE de Windows PE de 14136 bytes de tamaño. Instalación El gusano se copia en el directorio raíz de Windows como brsh32.exe: % WinDir% brsh32.exe A continuación, registra este archivo en el registro del sistema de Windows como un nuevo servicio. Esto asegura que el gusano se lanzará cada vez que Windows se reinicie en la máquina víctima: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "brsh32Service" = "% WinDir% brsh32.exe -q" El gusano: difundir por correo electrónico hacer posible la administración remota de la máquina víctima a través de una puerta trasera El gusano se envía a las direcciones de correo electrónico recogidas de la máquina víctima. Al enviar mensajes infectados, el gusano establece una conexión directa con el servidor SMTP del destinatario. Asunto del email El sujeto del mensaje se elige al azar de la siguiente lista: ¿Estás listo para disfrutar? ¿Quieres reírte? Descarga fotos divertidas gratis! ¡descarga protectores de pantalla gratis! Fotos gratis y protectores de pantalla protector de pantalla gratuito fotos divertidas está en línea otra vez! Oferta especial de funnypics ¡Huff FUERA! humor en línea pedazo de diversión! Escucha al Dr. Fun fotos y protectores de pantalla ¿Listo? ¿estable? ¡risa! Guarde su pantalla! ¿lo que quieres ver? Contenido del correo electrónico El cuerpo del mensaje no cambia, y es el siguiente: Funny Pics Inc. contraataca con más cosas gratis. ¡Visita nuestro nuevo sitio web con muchas fotos divertidas y nuevos salvapantallas como este! www.funnypics.com Adjunto archivo El gusano envía una copia de sí mismo en el siguiente archivo adjunto:% windir% brsh32.exe. Sin embargo, disfraza este archivo como una imagen de www.funnypics.com. El nombre del archivo adjunto se elige al azar de la siguiente lista: billBates.scr bzzz.scr funnyPic.scr intelAside.scr kennyIsAlive.scr mac0s.scr matriz-SP.scr mrBrown.scr nastyPokemon.scr paradise.scr phantomMenaze.scr southPark.scr SouthParkOuttaSpace.scr starWarz.scr waaazUp.scr x-filez.scr Carga útil El gusano abrirá un puerto TCP entre 8000 y 8255 (elegido al azar) y escuchará los comandos. Esto proporciona a un usuario malicioso remoto acceso total a la máquina de la víctima, lo que permite obtener información de la máquina víctima, descargar, iniciar y eliminar archivos. Instrucciones de eliminación Elimine la siguiente clave de registro: [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices] "brsh32Service" = "% WinDir% brsh32.exe -q" Usando el Administrador de tareas, detenga el proceso llamado brsh32.exe. Elimine el siguiente archivo:% WinDir% brsh32.exe. Realice un escaneo completo de su computadora ( descargue la versión de prueba de Kaspersky Anti-Virus ).
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.FunnyPics