ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm | ||
Plataforma | Win32 | ||
Descripción |
Detalles técnicosSwen es un virus gusano muy peligroso que se propaga a través de Internet por correo electrónico (en forma de archivo adjunto infectado), la red de intercambio de archivos de Kazaa, canales de IRC y recursos de red abiertos. Swen está escrito en Microsoft Visual C ++ y tiene 105 KB (106496 Bytes) de tamaño. El gusano se activa cuando una víctima inicia el archivo infectado (haciendo doble clic en el archivo adjunto) o cuando la aplicación de correo electrónico de la máquina víctima es vulnerable a la vulnerabilidad IFrame.FileDownload (también explotada por los gusanos de Internet Klez y Tanatos ). Una vez ejecutado, Swen se instala en el sistema y comienza su rutina de propagación. Puede descargar el parche publicado en marzo de 2001 para la vulnerabilidad IFrame: Microsoft Security Bulletin MS01-20 . El gusano bloquea muchos programas antivirus y firewalls. Su algoritmo y partes del texto del código son casi idénticos a los de otro gusano de Internet llamado I-Worm.Gibe , aunque el lenguaje de programación utilizado es diferente. Instalación Cuando se inicia por primera vez, el gusano puede mostrar el cuadro de mensaje "Microsoft Internet Update Pack". Luego imita la instalación del parche: ![]() ![]() ![]() El gusano se copia a sí mismo bajo uno de los nombres siguientes en el directorio de Windows. El nombre puede consistir en varias partes. Primera posibilidad:
Segunda posibilidad:
Tercera posibilidad:
El nuevo archivo está registrado en la clave de ejecución automática del registro del sistema de Windows: HKLMSoftwareMicrosoftWindowsCurrentVersionRun secuencia aleatoria =% windir% Autorun de nombre de archivo Se crea una clave de identificación que contiene la configuración de los gusanos: HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer secuencia aleatoria A continuación, el gusano crea un archivo con el nombre del equipo host infectado con una extensión BAT en la carpeta de Windows. El archivo contiene los siguientes comandos:
A continuación, el gusano cambia los valores clave en HKLMSoftwareClasses de tal manera que se enganche en la ejecución cada vez que se inician los tipos de archivos BAT, COM, EXE, PIF, REG y SCR. HKCRbatfileshellocommandcommand Predeterminado =% windir% Deshabilita la capacidad del usuario para editar el registro del sistema: HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 Cuando se lanzó por primera vez, el gusano accede al siguiente sitio web remoto:
Este contador indica la cantidad de computadoras infectadas. Al intentar ejecutar una nueva copia del gusano en la máquina ya infectada, el gusano muestra el siguiente mensaje: ![]() El gusano escanea todos los discos para archivos con extensiones DBX, MDX, EML, WAB y también que contienen HT o ASP en la extensión. Swem extrae las direcciones de correo electrónico que puede encontrar y las guarda en un archivo llamado germs0.dbv . El gusano intenta conectarse a uno de los 350 servidores identificados en el archivo swen1.dat , para enviar correos electrónicos infectados. Si la conexión es imposible, el gusano muestra el siguiente mensaje de error sobre una excepción MAPI 32: ![]() y solicita una dirección de correo electrónico correcta, así como un servidor SMTP correcto. Propagación por correo electrónico El gusano se envía por correo a todas las direcciones disponibles mediante una conexión directa a un servidor SMTP. Los correos electrónicos infectados están en formato HTML y contienen un archivo adjunto (el gusano real). ![]() Nombre del remitente (consta de varias partes):
Por ejemplo:
Dirección del remitente (consta de 2 partes):
Sujeto (consta de varias partes):
Cuerpo:
Firma:
Nombre del archivo adjunto:
El contenido real del cuerpo puede ser menos complicado, dependiendo de varias circunstancias.
En algunos casos, el gusano puede enviar copias de sí mismo en forma archivada: ZIP o RAR. Propagación vía Kazaa Swen se propaga a través de la red de intercambio de archivos Kazaa copiándose bajo nombres aleatorios en el directorio de intercambio de archivos en Kazaa Lite. También crea un subdirectorio en la carpeta Temp de Windows con nombres aleatorios que hacen varias copias de sí mismo con nombres aleatorios también. Esta carpeta se identifica en el registro del sistema de Windows como Contenido local para el sistema de intercambio de archivos de Kazaa. HKCUSoftwareKazaaLocalContent dir99 = 012345: nombre de la carpeta% Windir %% temp% Como resultado, los nuevos archivos creados por Swen estarán disponibles para otros usuarios de la red Kazaa. Propagación a través de canales IRC El gusano escanea para el cliente mIRC instalado. Si se detecta Swen, entonces modifica el archivo script.ini agregando sus procedimientos de propagación. Con lo cual el archivo scrip.ini envía el archivo infectado desde el directorio de Windows a todos los usuarios que se conectan al canal IRC ahora infectado. Propagación a través de LAN El gusano escanea todas las unidades disponibles. Si encuentra una unidad de red, se copia allí en las siguientes carpetas bajo un nombre aleatorio:
Otro El gusano intenta bloquear el lanzamiento y el trabajo de varios software antivirus y cortafuegos:
Cuando se lanzan, Swen muestra el siguiente mensaje de error falso: ![]() |
||
Enlace al original |
|||
Descubra las estadísticas de las amenazas que se propagan en su región |