Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de virus que se propaga a través de Internet conectado a correos electrónicos infectados, y se envía a través de canales IRC e infecta un servidor IIS. También se protege de los programas antivirus.

El gusano en sí es un archivo EXE de Windows PE, 14336 bytes de longitud, y está escrito en Visual Basic 6. Está empaquetado en un programa UPX. Después de desempacar, tiene un tamaño de 53 Kb. Contiene las siguientes cadenas de texto:

W32.Karen por Gobo … feliz cumpleaños niña !!! gritos: W1z, Merl, NM y quien sea. #teamvirus en Undernet … saludar. Bob es el rey de los bots 🙂

Los mensajes infectados contienen lo siguiente:

El sujeto es una de las 15 variantes:

Si fuera Dios y no creyera en mí, sería una blasfemia
El A-Team VS KnightRider … ¿quién ganaría?
Solo un beso, lo hará mejor. solo un beso, y estaremos bien.
No puedo evitar este anhelo, consuelame. Li> Y te extraño más que nada, querida …
… Cuando las hojas de otoño comienzan a caer
Está oscuro aquí, puedes sentirlo por todos lados. El metro.
Siempre estaré contigo algunas veces negro a veces blanco …
.. y no hay necesidad de tener miedo, siempre estás en mi mente.
Simplemente da un paso gigante, un paso más alto.
El aire te sostendrá si lo intentas, confía en mis alas de deseo. Gloria, glorificado …….
Los horizontes se inclinan hacia adelante, ofreciéndonos espacio para colocar nuevos pasos de cambio.
Me gusta esta calma, momentos antes de la tormenta Cariño, ¿cuándo te caíste … cuando terminó?
¿Me conocerás … y volaremos?

El nombre del archivo adjunto es aleatorio. Tiene una de las siguientes extensiones:
.exe, .pif, .scr, .bat, .com

Los nombres de muestra son los siguientes:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

El cuerpo del mensaje es una de las siguientes 4 variantes:

Oye

Dicen que el amor es ciego … bueno, el accesorio probablemente lo demuestre. De todos modos, bastante bueno, ¿no?

Te gustaría esto, podría haberse hecho para que te hable más tarde

Feliz cumpleaños Sí, está bien, así que no es tuyo, es mío 🙂 Todavía es motivo de celebración, mira los detalles que adjunté

Esto me hizo reir. Tengo más cosas que contarte más tarde, pero no puedo parar ahora, así que te enviaré un correo electrónico más tarde o te daré un anillo si eso está bien. Te hablo luego

Instalación

Durante la instalación, el gusano se copia al directorio del sistema de Windows con el nombre KAREN.EXE y lo registra en la clave de ejecución automática del registro del sistema.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Difundir por correo electrónico

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

Gokar1.bmp

Difundir a través de canales de IRC

El gusano sobrescribe el archivo C: MIRCSCRIPT.INI al nuevo archivo de script.

Este script envía un archivo EXE a cada usuario que se une al canal infectado. También envía el siguiente mensaje:

Si esto no te hace sonreír, nada lo hará.

Cambia el alias de un usuario a lo siguiente:

karen, gusano, virus, sexo

El script ignora a los usuarios que envían los textos ::

script, infectado, dcc, script, infectado

Se une al canal #teamvirus si recibe un texto con char 'e'.

Infectar el servidor IIS

El gusano sobrescribe el archivo C: INETPUBWWWROOTDEFAULT.HTM con su código y se copia en el directorio C: INETPUBWWWROOT con el nombre WEB.EXE. El nuevo DEFAULT.HTM contiene un enlace al archivo WEB.EXE. También tiene un comentario de texto:

Como resultado, el gusano infecta al servidor IIS local.

Protección contra programas antivirales

Durante la instalación en el sistema informático, el gusano escanea los procesos en ejecución. Comprueba sus nombres de la siguiente lista:

:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

El gusano termina estos procesos en la memoria.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de virus que se propaga a través de Internet conectado a correos electrónicos infectados, y se envía a través de canales IRC e infecta un servidor IIS. También se protege de los programas antivirus. El gusano en sí es un archivo EXE de Windows PE, 14336 bytes de longitud, y está escrito en Visual Basic 6. Está empaquetado en un programa UPX. Después de desempacar, tiene un tamaño de 53 Kb. Contiene las siguientes cadenas de texto: W32.Karen por Gobo … feliz cumpleaños niña !!! gritos: W1z, Merl, NM y quien sea. #teamvirus en Undernet … saludar. Bob es el rey de los bots 🙂 Los mensajes infectados contienen lo siguiente: El sujeto es una de las 15 variantes: Si fuera Dios y no creyera en mí, sería una blasfemia El A-Team VS KnightRider … ¿quién ganaría? Solo un beso, lo hará mejor. solo un beso, y estaremos bien. No puedo evitar este anhelo, consuelame. Li> Y te extraño más que nada, querida … … Cuando las hojas de otoño comienzan a caer Está oscuro aquí, puedes sentirlo por todos lados. El metro. Siempre estaré contigo algunas veces negro a veces blanco … .. y no hay necesidad de tener miedo, siempre estás en mi mente. Simplemente da un paso gigante, un paso más alto. El aire te sostendrá si lo intentas, confía en mis alas de deseo. Gloria, glorificado ……. Los horizontes se inclinan hacia adelante, ofreciéndonos espacio para colocar nuevos pasos de cambio. Me gusta esta calma, momentos antes de la tormenta Cariño, ¿cuándo te caíste … cuando terminó? ¿Me conocerás … y volaremos? El nombre del archivo adjunto es aleatorio. Tiene una de las siguientes extensiones: .exe, .pif, .scr, .bat, .com Los nombres de muestra son los siguientes: 3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr El cuerpo del mensaje es una de las siguientes 4 variantes: Oye Dicen que el amor es ciego … bueno, el accesorio probablemente lo demuestre. De todos modos, bastante bueno, ¿no? Te gustaría esto, podría haberse hecho para que te hable más tarde Feliz cumpleaños Sí, está bien, así que no es tuyo, es mío 🙂 Todavía es motivo de celebración, mira los detalles que adjunté Esto me hizo reir. Tengo más cosas que contarte más tarde, pero no puedo parar ahora, así que te enviaré un correo electrónico más tarde o te daré un anillo si eso está bien. Te hablo luego Instalación Durante la instalación, el gusano se copia al directorio del sistema de Windows con el nombre KAREN.EXE y lo registra en la clave de ejecución automática del registro del sistema. HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe Difundir por correo electrónico Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Gokar1.bmp Difundir a través de canales de IRC El gusano sobrescribe el archivo C: MIRCSCRIPT.INI al nuevo archivo de script. Este script envía un archivo EXE a cada usuario que se une al canal infectado. También envía el siguiente mensaje: Si esto no te hace sonreír, nada lo hará. Cambia el alias de un usuario a lo siguiente: karen, gusano, virus, sexo El script ignora a los usuarios que envían los textos :: script, infectado, dcc, script, infectado Se une al canal #teamvirus si recibe un texto con char 'e'. Infectar el servidor IIS El gusano sobrescribe el archivo C: INETPUBWWWROOTDEFAULT.HTM con su código y se copia en el directorio C: INETPUBWWWROOT con el nombre WEB.EXE. El nuevo DEFAULT.HTM contiene un enlace al archivo WEB.EXE. También tiene un comentario de texto: Como resultado, el gusano infecta al servidor IIS local. Protección contra programas antivirales Durante la instalación en el sistema informático, el gusano escanea los procesos en ejecución. Comprueba sus nombres de la siguiente lista: : VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f-stopw.exe El gusano termina estos procesos en la memoria.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Gokar

Detalles técnicos