ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Ligon

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de correo electrónico Win32. El gusano tiene dos componentes:

  • Principal: una aplicación Win32 (archivo PE EXE) de aproximadamente 360 ​​KB de tamaño y escrita en Delphi.
  • Helper: un programa de script VBS que intenta propagar el gusano a través de una red local.

    El componente principal del gusano se envía a otras máquinas adjuntas a los correos electrónicos como un archivo EXE que puede tener 16 nombres diferentes (ver a continuación). Mientras se propaga, utiliza MAPI para conectarse a un correo electrónico.

    El componente principal también elimina un script adicional VBS (gusano de red local) en un disco local y lo genera.

    Componente principal

    Cuando se inicia un archivo infectado (activado por un usuario de un mensaje infectado o de cualquier otra fuente), el gusano se copia en el directorio de Windows con "PCpower.exe" y en el directorio del sistema de Windows con el nombre "MyLinong.exe" . El gusano suelta el archivo "MyLinong.VBS" (ayuda de VBS) en el directorio del sistema de Windows.

    Estos archivos se registran en las claves de autoejecución del registro del sistema:

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
    PCPower =% windir% PCpower.exe
    MyLinong =% winsystemdir% MyLinong.exe
    Linong =% winsystemdir% MyLinong.vbs

    Los archivos EXE son dos copias de gusanos, y Windows los activará en cada reinicio. El archivo VBS es un programa de script VisualBasic (ver a continuación).

    Extensión

    Para propagarse, el gusano escanea la Bandeja de entrada para los primeros 50 mensajes, obtiene mensajes que tienen al menos un archivo adjunto y responde con un mensaje infectado. El mensaje infectado tiene un sujeto, cuerpo y archivo adjunto que se selecciona aleatoriamente de 16 variantes:

    Nombres de archivos adjuntos:

    CFusion.Exe
    PatchFusion.exe
    MyLinong.Exe
    Ilumina el night.exe
    StarMild.exe
    Kiss.Exe
    Sexy.Exe
    Popeye.exe
    Olive.exe
    BullBull.exe
    Moly.exe
    Lovely.exe
    868879.exe
    help.exe
    BillGate
    Mikropos

    Asignaturas:

    Información de CFusion
    Parche su CFusion
    Sigo recordandote
    Ilumina la noche
    Elección del hombre
    Besame
    Modelo sexy
    Historieta de Popeye
    Olive & Popeye
    Perros MyGirlFriend
    Perros de mi amiga
    Dulce encantadora
    Contraseña
    Necesitas ayuda
    Cuenta
    Mikropos

    Cuerpos del mensaje:

    Puede actualizar su Cfusion en línea gratis
    ¿Está listo? Arregle su Cfusion, actualice
    Ella es mi sexy Linong
    Ilumina la noche FIESTA …
    Eres hombre o mujer Este es el patrocinador de nuestro sitio The man choice
    100 maneras de besar a tu amiga o tu novio
    ¿Alguna vez viste a las chicas sexys como ella?
    The New Popeye New Cartoon NetWork
    Dibujos animados de Olive y Popeye
    Bonito perro…
    Buen perro y perros inteligentes
    Mi amigo Icq dulce y encantador
    Aquí La lista del sitio web de Nude Password. Todos ellos siguen activos, y algunos de ellos son death password
    Necesitas ayuda ? para obtener dinero a través de internet. Puedes leer la ayuda
    Cuenta..
    El nuevo software Mikropos de Mikropos Network

    Carga útil

    El gusano crea los siguientes directorios:

    "C: Linong I Love U Much Much Linong para siempre My Love% n"

    donde% n son números del 0 al 500 (en algunos casos, el gusano no puede crear directorios, por lo que el límite superior del número de directorio puede ser inferior a 500).

    El gusano muestra los siguientes mensajes:

  • el 25 de junio:

    Mensaje de mí
    Feliz cumpleaños a MyLinong
    Todavía me recuerdas…

  • el 22 de julio:

    Hoy quiero decirte una vez más que
    ME ENCANTA TANTO LINONG
    Hola usuario, por favor, ayúdame a decirle al mundo
    Que la amo tanto

  • el 14 de noviembre:

    Hola … No … Te amo mucho.
    Pero hoy debemos decir adiós para siempre
    Te espero en la próxima Vida, y Recuerda Te Amo tanto

    VBS Helper

    Esta es una modificación del gusano de correo electrónico de VBS "I-Worm.Linong" y funciona como un ayudante para el componente EXE principal.

    Cuando es ejecutado por Windows (porque está registrado en el registro Ejecutar = clave), obtiene la dirección IP de la máquina local y luego escanea la subred (por ejemplo, si la IP de la máquina local es 10.10.10.1, el gusano intentará conectarse a todas las máquinas usando las direcciones 10.10.10.n, donde 'n' es un número del 1 al 254).

    En el caso de que haya máquinas con tales direcciones, el gusano intenta obtener acceso a sus unidades C: y copiarse allí en los siguientes directorios:

    "DO:"
    "C: windowsstartm ~ 1programsstartup"
    "C: ventanas"
    "C: windowsstart menuprogramsstartup"

    (hay un error en esta rutina, y el gusano no puede realizar esto).

    El gusano intenta enviar su componente EXE desde las máquinas infectadas, con los mensajes que contienen lo siguiente:

    Asunto: uno de este correo
    Cuerpo: historia verdadera …
    Adjuntar: mylinong.exe

    (esta rutina también tiene un error y el gusano no se propaga).

    El gusano entonces, así como "I-Worm.Linong", realiza lo siguiente:

  • crea 600 directorios vacíos �: LINONG I LOVE YOU MI FOLDER% n (donde% n es el número de 1 a 600)
  • crea sus copias con los siguientes nombres:

    % windows% mylinong.txt.shs
    % windows% SYSTEMKern32Lin.vbs
    % windows% Vbrun32DLL.vbs
    % windows% SYSTEMmylinong.TXT.vbs

  • y registra un archivo no existente en el registro del sistema:

    HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Vbrun32DLL =% windows% Win32DLL.vbs

    A continuación, el gusano crea un archivo HTA y lo abre, lo que, como resultado, muestra el texto:

    Te amo
    Linong
    Tú eres el amor de mi amor, 5173n1n3ty31gh7
    Casi un año … Miss U
    01 * 29 ** 879
    01 * 29 ** 868
    * – *


  • Enlace al original