ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Heyya

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Esta es la propagación del virus del gusano que se adjunta a los mensajes de correo electrónico, a través de canales IRC, infectando archivos PE EXE (archivos ejecutables Win32), archivos VBS e incorporando sus copias a los archivos RAR y ARJ. El gusano en sí es un archivo ejecutable de Win32 de unos 28 Kb de longitud e infecta únicamente máquinas Win32.

El gusano tiene muchos errores y en la mayoría de los casos daña el sistema o corrompe los archivos mientras los infecta.

Instalación

Cuando se ejecuta el archivo infectado, el gusano se copia en el directorio del sistema de Windows con uno de los nombres seleccionados al azar de la siguiente lista, dependiendo del día actual:

napster.exe
newbillgates.exe
HonNaCigana2.exe
FreeSoftGSM.exe
game.exe
call.exe

Para acceder a esa copia más tarde por su nombre, el gusano almacena ese nombre en la clave del Registro:

HKLMSOFTWAREInfluenzaLab
MicrosoftOE =% nombre de gusano%

donde% wormname% es el nombre de archivo de la copia del gusano (también se usará a continuación).

El gusano también se copia al directorio de Windows con el nombre PornoChat.exe y registra ese archivo en la clave de ejecución automática del Registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MicrosoftOE =% WinDir% PornoChat.exe

Actualizando

El gusano puede actualizarse a sí mismo. Para hacerlo, establece la página de inicio de MS Internet Explorer en "www.volny.cz/radix16/flu/update.gif". Como resultado, en cada Internet Explorer, ese archivo GIF se descarga al equipo afectado. El gusano luego copia ese archivo con el nombre C: updateFLU.gif y lo procesa.

Ese no es el archivo de imagen GIF habitual: el gusano busca datos que están adjuntos a los datos de imagen GIF principales. Los datos adjuntos tienen un formato especial. Puede contener una lista de direcciones de correo electrónico (se almacena en el archivo C: Heyya.txt y se utiliza más adelante) y / o imagen de archivo EXE.


Enlace al original