Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un virus-gusano que se propaga a través de Internet adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud, y está escrito en Visual Basic Script.

Los mensajes infectados contienen diferentes temas, cuerpos y nombres de archivos adjuntos que se seleccionan al azar de las siguientes variantes:

Asignaturas:

Algo muy especial
Sé que te gustará esto
Sí, algo que puedo compartir contigo
¡Espera a ver esto!
Un nuevo juego! Espero que lo disfruten

Cuerpos (textos de una sola línea):

Hola, mira el archivo adjunto. ¡No creerás en tus ojos cuando lo abras!
¿Te gustan los juegos como Quake? Disfrutarás este.
¿Viste las fotos mías y mi novio operado con batería?

así como (textos de líneas múltiples):

Mi mejor amigo,
Esto es algo que tienes que ver!
Hasta la próxima

¿Internet es seguro?
Echale un vistazo

Archivo adjunto:

Ejecución de archivos infectados

El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en el archivo adjunto, mostrando lo siguiente:

Al mismo tiempo, el gusano se instala en el sistema. En el caso de que se presione el botón [Siguiente], no ocurre nada (excepto la instalación de las copias del gusano en el sistema), y la aplicación del gusano simplemente finaliza. Cuando se presiona el botón [Cancelar], el gusano comienza su rutina de propagación de correo electrónico.

Instalación

Al instalar en el sistema, el gusano crea el nuevo directorio C: EIRAM, y se copia a sí mismo usando los siguientes nombres:

c: eiramquake4demo.exe
f: quake4demo.exe (si esta unidad existe)

y luego registra estos archivos en las claves de ejecución automática del Registro:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"quake" = "c: eiramquake4demo.exe"
"Q4" = "f: quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4" = "c: eiramquake4demo.exe"
"quake" = "f: quake4demo.exe"

Más tarde, al enviar mensajes de correo electrónico, el gusano también puede crear más copias en el directorio de Windows:

honey.exe
quake4demo.exe
setup.exe

Extensión

La rutina de propagación de correo electrónico se activa solo cuando un usuario presiona el botón [Cancelar] en el cuadro de mensaje (ver arriba).

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

Carga útil

Al inicio, el gusano activa su rutina de carga, que busca los siguientes archivos: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx y los sobrescribe con el siguiente texto:

No has protegido tus archivos lo suficientemente bien
¡Deja que esto sea una lección! Nunca confíes en otra persona
eiram 1999-2001

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un virus-gusano que se propaga a través de Internet adjunto a correos electrónicos infectados. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud, y está escrito en Visual Basic Script. Los mensajes infectados contienen diferentes temas, cuerpos y nombres de archivos adjuntos que se seleccionan al azar de las siguientes variantes: Asignaturas: Algo muy especial Sé que te gustará esto Sí, algo que puedo compartir contigo ¡Espera a ver esto! Un nuevo juego! Espero que lo disfruten Cuerpos (textos de una sola línea): Hola, mira el archivo adjunto. ¡No creerás en tus ojos cuando lo abras! ¿Te gustan los juegos como Quake? Disfrutarás este. ¿Viste las fotos mías y mi novio operado con batería? así como (textos de líneas múltiples): Mi mejor amigo, Esto es algo que tienes que ver! Hasta la próxima ¿Internet es seguro? Echale un vistazo Archivo adjunto: Ejecución de archivos infectados El gusano se activa desde un correo electrónico infectado solo cuando un usuario hace clic en el archivo adjunto, mostrando lo siguiente: Al mismo tiempo, el gusano se instala en el sistema. En el caso de que se presione el botón [Siguiente], no ocurre nada (excepto la instalación de las copias del gusano en el sistema), y la aplicación del gusano simplemente finaliza. Cuando se presiona el botón [Cancelar], el gusano comienza su rutina de propagación de correo electrónico. Instalación Al instalar en el sistema, el gusano crea el nuevo directorio C: EIRAM, y se copia a sí mismo usando los siguientes nombres: c: eiramquake4demo.exe f: quake4demo.exe (si esta unidad existe) y luego registra estos archivos en las claves de ejecución automática del Registro: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "quake" = "c: eiramquake4demo.exe" "Q4" = "f: quake4demo.exe" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Q4" = "c: eiramquake4demo.exe" "quake" = "f: quake4demo.exe" Más tarde, al enviar mensajes de correo electrónico, el gusano también puede crear más copias en el directorio de Windows: honey.exe quake4demo.exe setup.exe Extensión La rutina de propagación de correo electrónico se activa solo cuando un usuario presiona el botón [Cancelar] en el cuadro de mensaje (ver arriba). Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook. Carga útil Al inicio, el gusano activa su rutina de carga, que busca los siguientes archivos: * .exe, * .xls, * .doc, * .mdb, * .htm, * .html, * .txt, * .ocx y los sobrescribe con el siguiente texto: No has protegido tus archivos lo suficientemente bien ¡Deja que esto sea una lección! Nunca confíes en otra persona eiram 1999-2001
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Quamo

Detalles técnicos