ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Amenazas Email-Worm Win32

Email-Worm.Win32.Silver

Clase
Email-Worm
Plataforma
Win32

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Email-Worm

Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados ​​en la web.

Más información

Plataforma: Win32

Win32 es una API en sistemas operativos basados ​​en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.

Descripción

Detalles técnicos

Este es un gusano peligroso que se propaga a través de los canales de Internet e IRC, y también infecta la red local. El gusano en sí es una aplicación de Windows escrita en Delphi de aproximadamente 90K de tamaño (el gusano también puede ser comprimido por una herramienta de compresión PE EXE, por lo que el tamaño del archivo resultante puede ser menor que el original).

Mandando correos electrónicos

Para enviar correos electrónicos infectados desde las computadoras afectadas, el gusano prueba dos métodos diferentes. En primer lugar, busca el correo de Eudora instalado en el sistema. Si hay uno, el gusano escanea la base de datos de correo electrónico saliente de Eudora (archivo OUT.MBX), obtiene direcciones de correo electrónico desde allí y envía correos electrónicos infectados con copia adjunta del gusano a estas direcciones. Los mensajes del gusano tienen:

Asunto: relativo a la semana pasada ...
Texto: Por favor revise el adjunto y vuelva conmigo lo antes posible.
Haga doble clic en el icono para abrirlo.
Adjuntar: c: silver.exe

A continuación, el gusano prueba el sistema de correo electrónico instalado que no depende de la marca. Para hacer eso, el gusano usa las funciones de MAPI: se conecta al sistema de correo electrónico instalado, recibe mensajes de allí, lee las direcciones de correo electrónico y las usa para enviar sus copias. En este caso los mensajes tienen:

Asunto : Re: ahora esta es una buena foto :-)
Texto: Pensé que podría estar interesado en verla
Adjuntar: naked.jpg.exe

Infectar clientes mIRC y PIRCH

Para afectar a los clientes de IRC, el gusano busca los directorios C: MIRC, C: MIRC32, C: PIRCH98 y sobrescribe los scripts de IRC allí con un programa que envía una copia de gusano a cada usuario que ingresa al canal afectado.

La secuencia de comandos mIRC también tiene características adicionales. Cuando un usuario envía al canal IRC un mensaje que contiene el texto "silverrat", el gusano responde a ese usuario con el mensaje "Tengo el virus Silver Rat" (por lo que el gusano informa al maestro acerca de las computadoras infectadas). Si el texto "pyrealrat" se encuentra en el canal, la secuencia de comandos abre la unidad C: en la máquina afectada como servidor de archivos (que otorga acceso maestro de gusanos a todos los datos en la unidad C:).

Difundir a través de la red local

Para infectar computadoras remotas en la red, el gusano escanea todas las unidades desde C: hasta Z: y busca allí el directorio de WINDOWS. Si hay uno, el gusano se copia allí y se registra en la sección de ejecución automática de Windows en el archivo WIN.INI, o en el registro del sistema dependiendo de la versión de Windows (Win9x o WinNT). Entonces, el gusano puede infectar computadoras remotas en caso de que sus discos sean compartidos para leer / escribir.

Instalando en el sistema

Para instalarse en el sistema, el gusano se copia en los directorios con los nombres:

al directorio de Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
a C: directorio raíz de la unidad: SILVER.EXE

El gusano se registra en los campos de ejecución automática en el registro del sistema:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Todos estos campos contendrán la instrucción:

"Silver Rat" = WinDirsilver.exe

donde "WinDir" es el nombre del directorio de Windows.

Como resultado, la copia del gusano se ejecuta cuatro veces en cada inicio de Windows. Para ejecutarse más veces (y para enviar más correos electrónicos infectados como resultado), el gusano también afecta a más claves de registro.

Afectar las claves de registro

Las aplicaciones de Windows están vinculadas con extensiones de nombre de archivo por registros especiales en el registro del sistema. Estos registros apuntan a la aplicación que se ejecuta para procesar archivos con la extensión especificada. Cuando se abre un archivo, Windows obtiene su extensión y luego se refiere al registro del sistema para obtener el nombre de la aplicación que procesa los archivos de ese tipo.

El gusano usa esa característica de Windows y modifica más de 100 de esas claves de registro: reemplaza la referencia original a las aplicaciones con una referencia a su propia copia (SILVER.VXD). El gusano lo hace por tres claves diferentes por aplicación:

comando shellopen
shelleditcommand
Shellplaycommand

Las claves de registro parcheadas se muestran a continuación:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

donde los dígitos en la línea son ID para ejecutar el archivo de host (ver a continuación).

La lista de aplicaciones afectadas (claves de registro que vinculan la extensión de nombre de archivo con la aplicación) es bastante grande y tiene el siguiente aspecto: 

 accesshtmlfile iqyfile regedit fonfile accesssthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile dinero Winamp.File NSM AVIFile MOVFile WinRAR MSBD Maletín MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Chat mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-signup ofx.Document Unidad MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document noticias ftp xslfile rtsp giffile nntp m3ufile scpfile archivo de ayuda Notes.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Connection Manager Profile Whiteboard icquser ramfile eybfile WIFImage.Document inifile Archivo de RealMedia ArchivoFnd WSHFile

El gusano almacena claves originales en la otra clave de registro:

HKLMSoftwareSilver Rata

Esta clave contiene la lista de todas las claves que fueron reemplazadas como se mostró arriba. Esta lista es utilizada por el gusano para ejecutar la aplicación original: el gusano obtiene el nombre de la aplicación y la línea de comando de esa lista de "respaldo" y la genera.

Tal método de afectación del registro del sistema es muy peligroso. En caso de que la copia del gusano sea un eliminador del sistema, Windows no puede pasar los archivos a la aplicación que figura en la lista anterior. Como resultado, Windows se mantiene en su mayoría no funcional después de eso. En caso de que se abra un archivo de la lista afectada, informa un mensaje de error que indica que SILVER.VXD asociado no se puede encontrar.

El gusano presta especial atención a los archivos de copia de seguridad del sistema y se deshace de ellos para evitar restaurar los archivos de registro desde la copia de seguridad. Para hacer eso, el gusano se corrompe (sobrescribe los primeros 5K de cada archivo con datos basura) y elimina los archivos:

USER.DA0 y SYSTEM.DA0 en el directorio de Windows
SYSTEM.1ST en el directorio raíz de C: unidad

"Desinstalar" la carga útil

El gusano tiene una rutina de carga útil que se ejecuta en un caso de "desinstalación".

El gusano crea la clave de "desinstalación" en el registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rata
DisplayName = "Silver Rat Virus"
UninstallString = "c: silver.exe / uninstall"

Como resultado, el registro del gusano es visible en la ventana ControlPanel / AddRemovePrograms como "Silver Rat Virus". En caso de que se presione el botón "Eliminar", el gusano muestra el cuadro de mensaje:

Sangre
"Tengo que devolver algunos videos" - American Psycho

y llena de basura la línea del encabezado en la ventana RecycleBin (ver imagen).

Otras características

El gusano busca aplicaciones antivirus activas y las termina por sus nombres:

Monitor AVP
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
Programador de McAfee VirusScan
Alarma de zona
Clase WRQ NAMApp

También busca archivos antivirus (bases de datos) y los elimina:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

El gusano también intenta afectar los archivos VBS pero falla debido a un error.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Kaspersky Next:
ciberseguridad redefinida
Leer más
Related articles
18 April 2024
Securelist
Historia del backdoor XZ: Análisis inicial
20 March 2024
Securelist
Malware para Android, malware para Android y aún más malware para Android
13 March 2024
Securelist
El Estado del Stalkerware en 2023 y 2024
07 March 2024
Securelist
El spam y el phishing en 2023
05 March 2024
Securelist
Tunelización de red con … QEMU?
26 February 2024
Securelist
Virología móvil 2023
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Amenaza
Confirm changes?
Your message has been sent successfully.