ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Rastam

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Esta es la propagación del gusano de Internet con los correos electrónicos al afectar al cliente de correo electrónico de Eudora.

El mensaje infectado llega con el texto "Ayúdanos a volver a casa". al final del cuerpo del mensaje y el archivo DOS COM adjunto "www.back2afrika.com" (el virus intenta engañar a un usuario al disfrazar su extensión .COM con un nombre de URL similar).

Si el usuario activa el archivo COM adjunto, el gusano obtiene el control, crea un archivo EXE con un nombre aleatorio en el directorio temporal y lo ejecuta. Ese archivo EXE es un archivo PE EXE y contiene la rutina principal del gusano que registra el texto del gusano y los datos adjuntos como auto firma de Eudora. Como resultado, todos los correos salientes tendrán texto sin formato y archivo adjunto COM (ver arriba) pegado al final del mensaje.

El código del gusano contiene las cadenas de texto:

RASTAMAN
SOFTWARECLIENTSMAILEUDORASHELLOPENCOMMAND
EUDORA.INI
Utilizar
Firma
Configuraciones
¡Ayúdanos a regresar a casa!
comenzar 644 www.back2afrika.com
¡Haile Selassie es Jesucristo!
(tehporp sih si anceV dnA)

La última cuerda es "Y Vecna ​​es su profeta", escrito al revés.

La versión conocida del gusano tiene un error y no se puede propagar.


Enlace al original