ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Quamo

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un virus-gusano que se propaga a través de Internet adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud, y está escrito en Visual Basic Script.

Los mensajes infectados contienen diferentes temas, cuerpos y nombres de archivos adjuntos que se seleccionan al azar de las siguientes variantes:

Asignaturas:

Algo muy especial
Sé que te gustará esto
Sí, algo que puedo compartir contigo
¡Espera a ver esto!
Un nuevo juego! Espero que lo disfruten

Cuerpos (textos de una sola línea):

Hola, mira el archivo adjunto. ¡No creerás en tus ojos cuando lo abras!
¿Te gustan los juegos como Quake? Disfrutarás este.
¿Viste las fotos mías y mi novio operado con batería?

así como (textos de líneas múltiples):

Mi mejor amigo,
Esto es algo que tienes que ver!
Hasta la próxima

¿Internet es seguro?
Echale un vistazo

Archivo adjunto:

Ejecución de archivos infectados

El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en el archivo adjunto, mostrando lo siguiente:

Al mismo tiempo, el gusano se instala en el sistema. En el caso de que se presione el botón [Siguiente], no ocurre nada (excepto la instalación de las copias del gusano en el sistema), y la aplicación del gusano simplemente finaliza. Cuando se presiona el botón [Cancelar], el gusano comienza su rutina de propagación de correo electrónico.

Instalación

Al instalar en el sistema, el gusano crea el nuevo directorio C: EIRAM, y se copia a sí mismo usando los siguientes nombres:

c: eiramquake4demo.exe
f: quake4demo.exe (si esta unidad existe)

y luego registra estos archivos en las claves de ejecución automática del Registro:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"quake" = "c: eiramquake4demo.exe"
"Q4" = "f: quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4" = "c: eiramquake4demo.exe"
"quake" = "f: quake4demo.exe"

Más tarde, al enviar mensajes de correo electrónico, el gusano también puede crear más copias en el directorio de Windows:

honey.exe
quake4demo.exe
setup.exe

Extensión

La rutina de propagación de correo electrónico se activa solo cuando un usuario presiona el botón [Cancelar] en el cuadro de mensaje (ver arriba).

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

Carga útil

Al inicio, el gusano activa su rutina de carga, que busca los siguientes archivos: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx y los sobrescribe con el siguiente texto:

No has protegido tus archivos lo suficientemente bien
¡Deja que esto sea una lección! Nunca confíes en otra persona
eiram 1999-2001


Enlace al original