Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados y se envía a través del buscapersonas ICQ de Internet. Ataca un canal de IRC, utiliza un script troyano y se protege de los programas antivirus.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 38 KB de longitud y está escrito en Visual Basic. Está empaquetado por el programa UPX. Después de desempacar, tiene un tamaño de 148 KB.

Un mensaje infectado contiene:

El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en un archivo adjunto. Luego se instala en el sistema y ejecuta su rutina de difusión y carga útil. Muestra ventanas animadas con el siguiente texto:

Luego muestra el siguiente mensaje de diálogo:

Instalación

Durante la instalación, el gusano se copia en el directorio del sistema de Windows con el nombre GONE.SCR y registra este archivo en la clave de ejecución automática del registro del sistema.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun C: WINDOWSSYSTEMGONE.SCR = C: WINDOWSSYSTEMGONE.SCR

Después de esto, el gusano oculta su ventana principal y continúa propagándose.

Difundir por correo electrónico

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

{Goner3.bmp}

Difundir vía ICQ

El gusano se propaga a través del cliente de ICQ. Utiliza la biblioteca ICQMAPI.DLL, que el gusano copia del directorio C: PROGRAMA FILESICQ al directorio de sistema de Windows. Responde al programa del cliente y busca ventanas de diálogo de la lista y responde a las solicitudes. Las listas de ventanas son las siguientes:

Enviar archivo en línea
Enviar solicitud de archivo en línea

El gusano busca ventanas periódicamente y las cierra. Los títulos de las ventanas son los siguientes:

El usuario ha rechazado su solicitud
No se puede enviar solicitud de archivo
Enviar archivo en línea [El usuario está en modo N / A]
Enviar archivo en línea [El usuario está lejos]
Enviar archivo en línea [El usuario está ocupado]
Enviar archivo en línea [El usuario está en modo DND]
El usuario ha rechazado su solicitud
No se puede enviar solicitud de archivo
Enviar solicitud de archivo en línea [El usuario está en modo N / A]
Enviar solicitud de archivo en línea [El usuario está fuera]
Enviar solicitud de archivo en línea [El usuario está ocupado]
Enviar solicitud de archivo en línea [El usuario está en modo DND]

Atacar un canal de IRC

El gusano escanea los directorios del disco local para el archivo MIRC.INI, creando un nuevo archivo, REMOTE32.INI, en este directorio, y lo agrega al archivo MIRC.INI. Esta secuencia de comandos une periódicamente a un usuario con nombre aleatorio con el canal de IRC #pentagonex en el servidor twisted.ma.us.dal.net.

Protección contra programas antivirus

Durante la instalación en el sistema informático, el gusano escanea los procesos en ejecución, verificando sus nombres de la siguiente lista:

FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C: SAFEWEB

El gusano termina este proceso en la memoria y borra el archivo del disco. Luego borra todos los archivos en el directorio de proceso con archivos en subdirectorios. El gusano busca los archivos restantes y configura su eliminación después de reiniciar la computadora. Agrega comandos de eliminación al archivo WININIT.INI

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados y se envía a través del buscapersonas ICQ de Internet. Ataca un canal de IRC, utiliza un script troyano y se protege de los programas antivirus. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 38 KB de longitud y está escrito en Visual Basic. Está empaquetado por el programa UPX. Después de desempacar, tiene un tamaño de 148 KB. Un mensaje infectado contiene: El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en un archivo adjunto. Luego se instala en el sistema y ejecuta su rutina de difusión y carga útil. Muestra ventanas animadas con el siguiente texto: Luego muestra el siguiente mensaje de diálogo: Instalación Durante la instalación, el gusano se copia en el directorio del sistema de Windows con el nombre GONE.SCR y registra este archivo en la clave de ejecución automática del registro del sistema. HKLMSoftwareMicrosoftWindowsCurrentVersionRun C: WINDOWSSYSTEMGONE.SCR = C: WINDOWSSYSTEMGONE.SCR Después de esto, el gusano oculta su ventana principal y continúa propagándose. Difundir por correo electrónico Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. {Goner3.bmp} Difundir vía ICQ El gusano se propaga a través del cliente de ICQ. Utiliza la biblioteca ICQMAPI.DLL, que el gusano copia del directorio C: PROGRAMA FILESICQ al directorio de sistema de Windows. Responde al programa del cliente y busca ventanas de diálogo de la lista y responde a las solicitudes. Las listas de ventanas son las siguientes: Enviar archivo en línea Enviar solicitud de archivo en línea El gusano busca ventanas periódicamente y las cierra. Los títulos de las ventanas son los siguientes: El usuario ha rechazado su solicitud No se puede enviar solicitud de archivo Enviar archivo en línea [El usuario está en modo N / A] Enviar archivo en línea [El usuario está lejos] Enviar archivo en línea [El usuario está ocupado] Enviar archivo en línea [El usuario está en modo DND] El usuario ha rechazado su solicitud No se puede enviar solicitud de archivo Enviar solicitud de archivo en línea [El usuario está en modo N / A] Enviar solicitud de archivo en línea [El usuario está fuera] Enviar solicitud de archivo en línea [El usuario está ocupado] Enviar solicitud de archivo en línea [El usuario está en modo DND] Atacar un canal de IRC El gusano escanea los directorios del disco local para el archivo MIRC.INI, creando un nuevo archivo, REMOTE32.INI, en este directorio, y lo agrega al archivo MIRC.INI. Esta secuencia de comandos une periódicamente a un usuario con nombre aleatorio con el canal de IRC #pentagonex en el servidor twisted.ma.us.dal.net. Protección contra programas antivirus Durante la instalación en el sistema informático, el gusano escanea los procesos en ejecución, verificando sus nombres de la siguiente lista: FINET.EXE APLICA32.EXE ZONEALARM.EXE ESAFE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET32.EXE PCFWallIcon.EXE FRW.EXE VSHWIN32.EXE VSECOMR.EXE WEBSCANX.EXE AVCONSOL.EXE VSSTAT.EXE NAVAPW32.EXE NAVW32.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE LOCKDOWN2000.EXE ICLOAD95.EXE ICMON.EXE ICSUPP95.EXE ICLOADNT.EXE ICSUPPNT.EXE TDS2-98.EXE TDS2-NT.EXE SAFEWEB.EXE C: SAFEWEB El gusano termina este proceso en la memoria y borra el archivo del disco. Luego borra todos los archivos en el directorio de proceso con archivos en subdirectorios. El gusano busca los archivos restantes y configura su eliminación después de reiniciar la computadora. Agrega comandos de eliminación al archivo WININIT.INI
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Goner

Detalles técnicos