Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de Internet que se propaga a través de correos electrónicos que se adjuntan como un archivo EXE. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 12 Kb de longitud, escrito en VisualBasic. El código del gusano se comprime con una utilidad de compresión de archivos EXE UPX Win32 y, cuando se desempaqueta, tiene un tamaño de aproximadamente 26 Kb.

Cuando se inicia el gusano (cuando un usuario hace clic en el archivo EXE adjunto), el gusano se copia en el directorio de Windows con el nombre MSSERV.EXE y lo registra en las claves de ejecución automática del registro de Windows:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

Todas estas claves "Ejecutar =" tienen el valor de cadena que ejecuta la copia del gusano en cada inicio de Windows:

msservice =% WinDir% msserv.exe

donde% WinDir% es el directorio principal de Windows.

Extensión

El gusano permanece en la memoria de Windows como una aplicación oculta (servicio), se conecta a MS Outlook y se registra como gestor de eventos MS Outlook "NewMail" y "ItemSend" (es decir, el gusano se adhiere a los eventos de MS Outlook).

En "NewMail" (ha llegado un nuevo correo), el gusano se ve como si fuera su propio mensaje de otro equipo infectado y luego lo elimina. El gusano abre el mensaje, busca el archivo adjunto EXE y elimina ese mensaje si el archivo adjunto EXE tiene la misma longitud que el archivo EXE del gusano.

En "ItemSend" (se envía un mensaje), el gusano busca los archivos ya adjuntados, obtiene el primero, lo reemplaza con su propia copia, cambia el nombre del archivo adjunto a .EXE y luego lo envía. Si el mensaje no tiene datos adjuntos, el gusano se adjunta con ocho bytes de un nombre aleatorio y extensión .EXE.

El viernes 13, de 13:00 a 14:00, el gusano también agrega un texto al comienzo del cuerpo del mensaje:

[I-Worm.Hydra] … por gl_st0rm de [mions]

Proteccion

El gusano realiza varias acciones para ocultarse y para evitar eliminar su archivo y las claves de registro infectadas "Ejecutar =". El gusano borra el archivo MSCONFIG.EXE en el directorio del sistema de Windows, busca las aplicaciones activas y las elimina (finaliza estos procesos):

"AVP Monitor"
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"Norman Virus Control"
"navpw32"
"Norton Antivirus"
"Iomon98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
"Trend PC-cillin"
"Monitor de archivos"
"Monitor de registro"
"Editor de registro"
"Administrador de tareas"

Como resultado, el gusano desactiva varios tipos de protecciones antivirus, y cierra inmediatamente a los editores del Registro una vez que se inician.

El gusano también mata las bases de antivirus de Kaspersky Anti-Virus (former AVP).

Miembro de la red distribuida SETI

El gusano instala y activa el software SETI (Search for Extraterrestrial Intelligence) en una computadora infectada (vea más información sobre SETI en http://setiathome.berkeley.edu).

El gusano descarga el software SETI al directorio de Windows con el nombre MSSETI.EXE de los siguientes sitios FTP:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

El gusano también crea, en el directorio de Windows, los siguientes archivos:

USER_INFO.SAH y VERSION.SAH con información específica de SETI
MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT para ejecutar el programa SETI

y registra el archivo RUN_MSSETI.VBS en las claves de ejecución automática del Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
msseti = WScript.exe% WinDir% run_msseti.vbs "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
msseti = WScript.exe% WinDir% run_msseti.vbs "

El archivo USER_INFO.SAH contiene información específica del usuario sobre el usuario SETI, el gusano escribe los ID siguientes allí:

id = 2199938
clave = 1603033966
email_addr=gl_storm@seznam.cz
name = GL_STORM
país = República Checa

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de Internet que se propaga a través de correos electrónicos que se adjuntan como un archivo EXE. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 12 Kb de longitud, escrito en VisualBasic. El código del gusano se comprime con una utilidad de compresión de archivos EXE UPX Win32 y, cuando se desempaqueta, tiene un tamaño de aproximadamente 26 Kb. Cuando se inicia el gusano (cuando un usuario hace clic en el archivo EXE adjunto), el gusano se copia en el directorio de Windows con el nombre MSSERV.EXE y lo registra en las claves de ejecución automática del registro de Windows: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices Todas estas claves "Ejecutar =" tienen el valor de cadena que ejecuta la copia del gusano en cada inicio de Windows: msservice =% WinDir% msserv.exe donde% WinDir% es el directorio principal de Windows. Extensión El gusano permanece en la memoria de Windows como una aplicación oculta (servicio), se conecta a MS Outlook y se registra como gestor de eventos MS Outlook "NewMail" y "ItemSend" (es decir, el gusano se adhiere a los eventos de MS Outlook). En "NewMail" (ha llegado un nuevo correo), el gusano se ve como si fuera su propio mensaje de otro equipo infectado y luego lo elimina. El gusano abre el mensaje, busca el archivo adjunto EXE y elimina ese mensaje si el archivo adjunto EXE tiene la misma longitud que el archivo EXE del gusano. En "ItemSend" (se envía un mensaje), el gusano busca los archivos ya adjuntados, obtiene el primero, lo reemplaza con su propia copia, cambia el nombre del archivo adjunto a .EXE y luego lo envía. Si el mensaje no tiene datos adjuntos, el gusano se adjunta con ocho bytes de un nombre aleatorio y extensión .EXE. El viernes 13, de 13:00 a 14:00, el gusano también agrega un texto al comienzo del cuerpo del mensaje: [I-Worm.Hydra] … por gl_st0rm de [mions] Proteccion El gusano realiza varias acciones para ocultarse y para evitar eliminar su archivo y las claves de registro infectadas "Ejecutar =". El gusano borra el archivo MSCONFIG.EXE en el directorio del sistema de Windows, busca las aplicaciones activas y las elimina (finaliza estos procesos): "AVP Monitor" "AntiVir" "Vshwin" "F-STOPW" "F-Secure" "vettray" "InoculateIT" "Norman Virus Control" "navpw32" "Norton Antivirus" "Iomon98" "AVG" "NOD32" "Dr.Web" "Amon" "Trend PC-cillin" "Monitor de archivos" "Monitor de registro" "Editor de registro" "Administrador de tareas" Como resultado, el gusano desactiva varios tipos de protecciones antivirus, y cierra inmediatamente a los editores del Registro una vez que se inician. El gusano también mata las bases de antivirus de Kaspersky Anti-Virus (former AVP). Miembro de la red distribuida SETI El gusano instala y activa el software SETI (Search for Extraterrestrial Intelligence) en una computadora infectada (vea más información sobre SETI en http://setiathome.berkeley.edu). El gusano descarga el software SETI al directorio de Windows con el nombre MSSETI.EXE de los siguientes sitios FTP: ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe El gusano también crea, en el directorio de Windows, los siguientes archivos: USER_INFO.SAH y VERSION.SAH con información específica de SETI MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT para ejecutar el programa SETI y registra el archivo RUN_MSSETI.VBS en las claves de ejecución automática del Registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun msseti = WScript.exe% WinDir% run_msseti.vbs " HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices msseti = WScript.exe% WinDir% run_msseti.vbs " El archivo USER_INFO.SAH contiene información específica del usuario sobre el usuario SETI, el gusano escribe los ID siguientes allí: id = 2199938 clave = 1603033966 email_addr=gl_storm@seznam.cz name = GL_STORM país = República Checa
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Hadra

Detalles técnicos

Extensión

Proteccion

Miembro de la red distribuida SETI