ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Hadra

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de Internet que se propaga a través de correos electrónicos que se adjuntan como un archivo EXE. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 12 Kb de longitud, escrito en VisualBasic. El código del gusano se comprime con una utilidad de compresión de archivos EXE UPX Win32 y, cuando se desempaqueta, tiene un tamaño de aproximadamente 26 Kb.

Cuando se inicia el gusano (cuando un usuario hace clic en el archivo EXE adjunto), el gusano se copia en el directorio de Windows con el nombre MSSERV.EXE y lo registra en las claves de ejecución automática del registro de Windows:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

Todas estas claves "Ejecutar =" tienen el valor de cadena que ejecuta la copia del gusano en cada inicio de Windows:

msservice =% WinDir% msserv.exe

donde% WinDir% es el directorio principal de Windows.

Extensión

El gusano permanece en la memoria de Windows como una aplicación oculta (servicio), se conecta a MS Outlook y se registra como gestor de eventos MS Outlook "NewMail" y "ItemSend" (es decir, el gusano se adhiere a los eventos de MS Outlook).

En "NewMail" (ha llegado un nuevo correo), el gusano se ve como si fuera su propio mensaje de otro equipo infectado y luego lo elimina. El gusano abre el mensaje, busca el archivo adjunto EXE y elimina ese mensaje si el archivo adjunto EXE tiene la misma longitud que el archivo EXE del gusano.

En "ItemSend" (se envía un mensaje), el gusano busca los archivos ya adjuntados, obtiene el primero, lo reemplaza con su propia copia, cambia el nombre del archivo adjunto a .EXE y luego lo envía. Si el mensaje no tiene datos adjuntos, el gusano se adjunta con ocho bytes de un nombre aleatorio y extensión .EXE.

El viernes 13, de 13:00 a 14:00, el gusano también agrega un texto al comienzo del cuerpo del mensaje:

[I-Worm.Hydra] … por gl_st0rm de [mions]

Proteccion

El gusano realiza varias acciones para ocultarse y para evitar eliminar su archivo y las claves de registro infectadas "Ejecutar =". El gusano borra el archivo MSCONFIG.EXE en el directorio del sistema de Windows, busca las aplicaciones activas y las elimina (finaliza estos procesos):

"AVP Monitor"
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"Norman Virus Control"
"navpw32"
"Norton Antivirus"
"Iomon98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
"Trend PC-cillin"
"Monitor de archivos"
"Monitor de registro"
"Editor de registro"
"Administrador de tareas"

Como resultado, el gusano desactiva varios tipos de protecciones antivirus, y cierra inmediatamente a los editores del Registro una vez que se inician.

El gusano también mata las bases de antivirus de Kaspersky Anti-Virus (former AVP).

Miembro de la red distribuida SETI

El gusano instala y activa el software SETI (Search for Extraterrestrial Intelligence) en una computadora infectada (vea más información sobre SETI en http://setiathome.berkeley.edu).

El gusano descarga el software SETI al directorio de Windows con el nombre MSSETI.EXE de los siguientes sitios FTP:

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

El gusano también crea, en el directorio de Windows, los siguientes archivos:

USER_INFO.SAH y VERSION.SAH con información específica de SETI
MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT para ejecutar el programa SETI

y registra el archivo RUN_MSSETI.VBS en las claves de ejecución automática del Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
msseti = WScript.exe% WinDir% run_msseti.vbs "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
msseti = WScript.exe% WinDir% run_msseti.vbs "

El archivo USER_INFO.SAH contiene información específica del usuario sobre el usuario SETI, el gusano escribe los ID siguientes allí:

id = 2199938
clave = 1603033966
email_addr=gl_storm@seznam.cz
name = GL_STORM
país = República Checa


Enlace al original