ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Goner

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados y se envía a través del buscapersonas ICQ de Internet. Ataca un canal de IRC, utiliza un script troyano y se protege de los programas antivirus.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 38 KB de longitud y está escrito en Visual Basic. Está empaquetado por el programa UPX. Después de desempacar, tiene un tamaño de 148 KB.

Un mensaje infectado contiene:

El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en un archivo adjunto. Luego se instala en el sistema y ejecuta su rutina de difusión y carga útil. Muestra ventanas animadas con el siguiente texto:

Luego muestra el siguiente mensaje de diálogo:

Instalación

Durante la instalación, el gusano se copia en el directorio del sistema de Windows con el nombre GONE.SCR y registra este archivo en la clave de ejecución automática del registro del sistema.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun C: WINDOWSSYSTEMGONE.SCR = C: WINDOWSSYSTEMGONE.SCR

Después de esto, el gusano oculta su ventana principal y continúa propagándose.

Difundir por correo electrónico

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

{Goner3.bmp}

Difundir vía ICQ

El gusano se propaga a través del cliente de ICQ. Utiliza la biblioteca ICQMAPI.DLL, que el gusano copia del directorio C: PROGRAMA FILESICQ al directorio de sistema de Windows. Responde al programa del cliente y busca ventanas de diálogo de la lista y responde a las solicitudes. Las listas de ventanas son las siguientes:

Enviar archivo en línea
Enviar solicitud de archivo en línea

El gusano busca ventanas periódicamente y las cierra. Los títulos de las ventanas son los siguientes:

El usuario ha rechazado su solicitud
No se puede enviar solicitud de archivo
Enviar archivo en línea [El usuario está en modo N / A]
Enviar archivo en línea [El usuario está lejos]
Enviar archivo en línea [El usuario está ocupado]
Enviar archivo en línea [El usuario está en modo DND]
El usuario ha rechazado su solicitud
No se puede enviar solicitud de archivo
Enviar solicitud de archivo en línea [El usuario está en modo N / A]
Enviar solicitud de archivo en línea [El usuario está fuera]
Enviar solicitud de archivo en línea [El usuario está ocupado]
Enviar solicitud de archivo en línea [El usuario está en modo DND]

Atacar un canal de IRC

El gusano escanea los directorios del disco local para el archivo MIRC.INI, creando un nuevo archivo, REMOTE32.INI, en este directorio, y lo agrega al archivo MIRC.INI. Esta secuencia de comandos une periódicamente a un usuario con nombre aleatorio con el canal de IRC #pentagonex en el servidor twisted.ma.us.dal.net.

Protección contra programas antivirus

Durante la instalación en el sistema informático, el gusano escanea los procesos en ejecución, verificando sus nombres de la siguiente lista:

FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C: SAFEWEB

El gusano termina este proceso en la memoria y borra el archivo del disco. Luego borra todos los archivos en el directorio de proceso con archivos en subdirectorios. El gusano busca los archivos restantes y configura su eliminación después de reiniciar la computadora. Agrega comandos de eliminación al archivo WININIT.INI


Enlace al original