ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Galil

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un virus de gusano que se propaga a través de Internet y se adjunta a correos electrónicos infectados. El gusano se compone de varios componentes. Todos ellos son archivos EXE de Windows PE, escritos en Visual Basic.

 Archivo principal: "iLLeGaL.exe", aproximadamente 81K de tamaño
 Componente de propagación: "Mplayer.exe", aproximadamente 14K (comprimido por UPX, descomprimido - 37K)
 Control SMTP: "SMTP.ocx", aproximadamente 26K (comprimido por UPX, descomprimido - 90K)

Instalación

Cuando se ejecuta el archivo principal del gusano, se instala él mismo y sus componentes en el sistema. Durante la instalación, el gusano copia su archivo principal en el directorio del sistema de Windows con el nombre "iLLegGaL.exe". Otros componentes del gusano están instalados en el mismo directorio. El componente "Mplayer.exe" se registra luego en la clave de ejecución automática del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  iLLeGaL =% SystemDir% Mplayer.exe

El gusano muestra una animación Flash falsa y el mensaje:

 Lo siento !
  Looooooooool, gracias por el tiempo que pasaste pensando en mí

Extensión

El gusano lee los correos electrónicos de las víctimas de la libreta de direcciones de MS Outlook y busca las direcciones de correo electrónico en los archivos .HTM y .HTML. Para enviar mensajes infectados, el gusano utiliza una conexión directa al servidor SMTP.

Los mensajes infectados tienen:

 Asunto: Fwd: sexo loco loco!
 Cuerpo: se selecciona al azar de un archivo en C: unidad
 Adjunte: "iLLeGal.exe" o "illegalSex.zip"

El gusano se activa desde el correo electrónico infectado solo si el usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta su rutina de propagación y carga útil.

Carga útil

El gusano crea una nueva clave (contador) en el registro del sistema:

  HKLMiLLeGal

Este contador se incrementa en cada inicio de gusano. Cuando el contador alcanza "5", el gusano borra todos los archivos en las unidades D: E: F: G: y luego muestra el mensaje:

  ZaCker
   Sin paz Sin guerra, odio la guerra pero me veo obligado a amarla, el Poder Oculto va a estar allí donde sea que

Enlace al original