Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Email-Worm
Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados en la web.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Este es un gusano de Internet que se propaga adjunto a los mensajes de correo electrónico. El gusano funciona solo con sistemas Win32. El gusano contiene componentes (complementos) en su código que se ejecutan en función de las necesidades del gusano, y estos componentes se pueden actualizar desde un sitio web de Internet.
Las principales versiones de gusanos están cifradas con un bucle de cifrado semimicomórfico.
El gusano contiene las cadenas de texto:
HYBRIS
(c) Vecna
Las corridas de gusanos
El objetivo principal del gusano en una computadora es la biblioteca WSOCK32.DLL. Al infectar este archivo, el gusano:
- se escribe al final de la última sección del archivo
- las funciones "conectar", "recv" y "enviar" de ganchos
- modifica la dirección de rutina de entrada de DLL (una rutina que se activa cuando se carga un archivo DLL) y encripta la rutina de entrada original
Si el gusano no puede infectar WSOCK32.DLL (en caso de que esté en uso y esté bloqueado para su escritura), el virus crea una copia de esa biblioteca (una copia de WSOCK32.DLL con nombre aleatorio), lo infecta y escribe una "cambiar el nombre" de la instrucción al archivo WININIT.INI. Como resultado, WSOCK32.DLL será reemplazado con una imagen infectada en el siguiente inicio de Windows.
El gusano también crea su copia con un nombre aleatorio en el directorio del sistema de Windows y lo registra en la clave de registro RunOnce:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName o
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName donde% WinSystem% es el directorio del sistema de Windows, y "WormName" es un nombre aleatorio de ocho símbolos, por ejemplo:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE
Solo existe una razón posible para registrar una copia de gusano adicional en la clave de registro "RunOnce": en caso de que WSOCK32.DLL no se haya infectado durante la primera ejecución del gusano y su copia infectada no se ha creado por algún motivo, el gusano "RunOnce" copia completará la tarea el próximo reinicio de Windows.
Infectado WSOCK32.DLL
El gusano intercepta las funciones de Windows que establecen una conexión de red, incluido Internet. El gusano intercepta los datos que se envían y reciben, y los escanea en busca de direcciones de correo electrónico. Cuando se detecta una dirección o direcciones, el gusano espera un tiempo y luego envía un mensaje infectado a esa / esas dirección (es).
Complementos
La funcionalidad del gusano depende de los complementos que se almacenan en el cuerpo del gusano encriptados con un algoritmo criptográfico fuerte tipo RSA con una clave de 128 bits. Hay hasta 32 complementos que se pueden encontrar en diferentes versiones de gusanos. Estos complementos realizan diferentes acciones que pueden ser actualizaciones desde una página web:
http://pleiku.vietmedia.com/bye/
por lo que la funcionalidad completa del gusano depende solo de su host que pueda actualizar los complementos en una página web. Los complementos de una página también están encriptados con cifrado tipo RSA.
El gusano también actualiza sus complementos utilizando el grupo de noticias alt.comp.virus. El gusano, estando activo en una máquina, se conecta a un servidor de noticias (mediante el uso de uno de los servidores seleccionados al azar - hay más de 70 direcciones en la lista), convierte sus complementos a mensajes de grupos de noticias y los publica allí. Los mensajes del gusano tienen un tema similar al azar, por ejemplo:
encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
texto LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
texto RFRE rebibmTCDOzGbCjSZ
donde los primeros cuatro quehaceres son "nombre" de complemento y los siguientes cuatro tareas son un complemento codificado "versión". Además de enviar, el gusano lee dichos mensajes de alt.comp.virus, obtiene el complemento "nombre" y "versión" y los compara con los complementos que utiliza actualmente el gusano. En caso de que el grupo de noticias tenga un mensaje con una versión de complemento más alta, el gusano lo extrae y reemplaza al existente. Entonces, el gusano usa alt.comp.virus para actualizar sus complementos.
El gusano también crea estos complementos como archivos de disco en el directorio del sistema de Windows. También tienen un nombre aleatorio, pero el gusano sigue teniendo acceso a ellos. Los nombres pueden tener el siguiente aspecto:
BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA
Hay varios complementos conocidos diferentes que:
1. Infecte todos los archivos ZIP y RAR en todas las unidades disponibles desde C: hasta Z :. Al infectar, el gusano cambia el nombre de los archivos EXE en el archivo con una extensión .EX $ y agrega su copia con una extensión .EXE al archivo (método de infección complementario).
2. Envíe mensajes con complementos codificados al grupo de noticias "alt.comp.virus" y obtenga nuevos complementos desde allí.
3. Extienda el virus a máquinas remotas que tengan instalado un troyano de puerta trasera SubSeven. El complemento detecta tales máquinas en la red y, utilizando los comandos de SubSeven, carga una copia de gusano en la máquina y la genera allí.
4. Encripte copias de gusanos con un ciclo de cifrado polimórfico antes de enviar la copia adjunta a un correo electrónico.
5. Dependiendo de la fecha y hora del sistema (el 16 y 24 de septiembre, y en 59 minutos de cada hora a partir del año 2001 - en los complementos conocidos) se ejecuta el efecto "spirale".
El complemento crea un nombre aleatorio de 8 bytes .EXE en el directorio del sistema de Windows, descomprime el código EXE "efecto spirale" y registra ese archivo en el sistema:
en Win9x: en el archivo WIN.INI en [windows] "run =" línea en WinNT: en el registro del sistema en la tecla "Ejecutar ="
6. Afecta los archivos DOS EXE y Windows PE EXE. El gusano les afecta para que se conviertan en goteros de gusano. Cuando se ejecutan, sueltan el archivo EXE del gusano en el directorio TEMP y lo ejecutan.
Mientras afecta el archivo EXE de DOS, el complemento agrega el código del cuentagotas y el cuerpo del gusano al final del archivo. Estos archivos son desinfectables.
Al afectar el archivo EXE de Windows PE, el complemento sobrescribe la sección del código del archivo para obtener un espacio para el código del gusano y escribe el código del gusano en ese espacio (si tiene el tamaño suficiente). El complemento no toca el encabezado del archivo (incluida la dirección del punto de entrada) y no aumenta el tamaño del archivo. Además, tiene una rutina anti-CRC (chechsum) que completa los datos especiales en el código del complemento para que el archivo CRC se convierta en el mismo para algunos algoritmos CRC comunes utilizados. Esto significa que algunas comprobaciones de integridad no detectarán cambios en los archivos afectados: la longitud del archivo y el cuerpo del archivo CRC se mantienen igual que en el archivo limpio.
Cuando se ejecuta dicho archivo PE EXE, el código del cuentagotas desactiva y activa el gusano, luego restaura (descomprime) la sección del código y devuelve el control al archivo del host.
7. Seleccione aleatoriamente un Asunto, Texto del mensaje y Adjuntar nombre al enviar las copias del gusano con mensajes de correo electrónico:
De:
Hahaha [hahaha@sexyfun.net]
Asignaturas:
Snowhite y los siete enanitos: ¡la historia REAL!
Branca de Neve porno�!
Enanito si, pero con que pedazo!
Les 7 coquir nains
Mensajes de texto:
C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aid� 'blanche neige' toutes ces ann�es qu'elle qu'elle se soit enfuit de chez sa belle m�re, lui avaient promis une * grosse * surprise. A 5 heures comme toujours, ils sont rentr�s du travail. Mais cette fois ils avaient un air coquin ...
Hoy, Snowhite cumplió 18 años. Los 7 Enanitos siempre fueron educados y educados con Snowhite. Cuando salen a trabajar a la mañana, prometieron una * gran * sorpresa. Snowhite estaba ansioso. Súbitamente, la puerta se abre, y los Siete Enanitos entran ...
Faltaba un día para su aniversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de complementos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos ...
Faltava apenas un día para el aniversario de 18 años. Branca de Neve estava muito feliz y ansiosa, porque os 7 an�es prometeram uma * grande * surpresa. Como cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem ... Os sete an�ezinhos tinham um estranho brilho no olhar ...
Adjuntar nombres:
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exesexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exeblancheneige.exe
sexynain.scr
blanche.scr
nains.exebranca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr
Así como (dependiendo de la versión del complemento):
El mensaje Asunto es una combinación aleatoria de:
Anna + sexo Raquel Darian sexy Xena caliente Xuxa más caliente Suzete cum famosa corrida celebridad violación cachonda cuero ... etc.
Adjuntar nombre:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebridad rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe
El nombre de archivo adjunto también puede ser un nombre aleatorio de ocho bytes .EXE, por ejemplo:
ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com