ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm |
Plataforma | Win32 |
Descripción |
Detalles técnicosSe trata de un gusano de Internet (virus del tipo de gusano) que se propaga a través de correos electrónicos, canales IRC, infecta archivos en computadoras locales y se propaga a una red local. También roba las contraseñas del sistema (archivos PWL) de las computadoras infectadas, y tiene muchas rutinas de carga útil inofensivas y peligrosas. El gusano tiene un tamaño aproximado de 80 Kb en el programa Win32 (PE EXE – Portable Executable) escrito en Delphi, el código "puro" del gusano ocupa aproximadamente 20 Kb y el resto es código de la biblioteca del tiempo de ejecución Delphi, datos y la información diversa del programa. El gusano llega como un correo electrónico con un mensaje falso (ver más abajo) y un archivo adjunto PKZIP.EXE que es el programa gusano. Cuando se ejecuta el gusano, se instala en el sistema, infecta los archivos en una unidad local, infecta las unidades lógicas disponibles, infecta al cliente mIRC instalado y envía correos electrónicos infectados mediante el sistema de correo de Eudora. Instalando en el sistemaPara instalarse en el sistema, el gusano se copia con el nombre KERNEL.EXE en el directorio de Windows (en máquinas Win95 / 98) o en el directorio de sistema de Windows (en WinNT) y se registra en la clave de ejecución automática del registro del sistema :
El gusano también tiene una rutina de instalación adicional que instala las copias del gusano en todas las unidades disponibles. Esta rutina se describe a continuación. Infectar una computadoraEl gusano puede infectar unos 40 archivos en una computadora e infecta a no más de cuatro archivos en cada ejecución. El gusano infecta archivos en el directorio de Windows:
El gusano infecta programas que están asociados con claves de registro:
Al infectar cada archivo, el gusano usa el método de infección complementario: cambia el nombre de un archivo de víctima con ocho bytes de nombre aleatorio y extensión .EXE (por ejemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) y se coloca con el nombre de archivo original. Como resultado, la copia del gusano se ejecutará cada vez que un usuario o sistema ejecute el archivo infectado. Para devolver el control al archivo host, el gusano almacena los nombres de los archivos en la clave de registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por ejemplo:
Esta información puede usarse para desinfectar la computadora. Para detectar archivos ya infectados, el gusano usa la FileVersion que se almacena en los recursos de archivos PE EXE. En archivos infectados, esta variable se establece en "1.3.5.7". Infectar las unidades locales y de redEl gusano también se copia a sí mismo y se "registra" en las unidades lógicas disponibles: extraíble, fijo y de red. Al infectar archivos extraíbles, el gusano busca el archivo AUTOEXEC.BAT en ellos, agrega una instrucción para ejecutar el archivo PKZIP.EXE al cargar desde la unidad y se copia a la unidad con el nombre de archivo PKZIP.EXE. Al infectar discos duros, el gusano busca el archivo PKZIP.EXE en los directorios raíz en estas unidades, y se copia a sí mismo con este nombre si dicho archivo no sale allí. Para ejecutar este archivo, el gusano crea el archivo AUTORUN.INF en la unidad y escribe un bloque de instrucciones allí para ejecutar el archivo PKZIP.EXE (copia de gusano) en el siguiente Windows-Tup de Windows:
Al infectar una unidad remota, el gusano primero verifica esta unidad para obtener un permiso por escrito. Para hacer esto, el gusano crea el archivo TEMP9385.058 y lo elimina. En caso de que no ocurran errores durante la operación, el gusano continúa propagándose al variador. Se copia allí con el nombre PKZIP.EXE y crea el archivo AUTORUN.INF de la misma forma que afecta a las unidades fijas en la computadora local. Además, el gusano busca directorios de Windows y WinNT en la unidad y registra su copia PKZIP.EXE en el archivo WIN.INI en la instrucción "ejecutar" de [windows]. Esta operación también causa la ejecución de copia de gusano en la próxima puesta en marcha de Windows. Al infectar las unidades de red, el gusano también destruye varios archivos ejecutables allí, si existen, y los sobrescribe con su copia:
Infección del cliente mIRC y propagación a través de canales IRCEsta rutina se ejecuta dependiendo de la hora del sistema, no cada vez que se ejecutan los archivos infectados. Busca el cliente mIRC instalado en el sistema al acceder al archivo de script mIRC en los directorios:
Si no existen tales archivos, el gusano deja la rutina de infección. De lo contrario, sobrescribirá el archivo SCRIPT.INI con instrucciones que envían el archivo C: PKZIP.EXE a todos los que ingresan al canal afectado. Envío de correos electrónicos infectadosEsta rutina se ejecuta dependiendo de la hora del sistema, así como de la rutina de infección mIRC. En primer lugar, el gusano obtiene el nombre del directorio de Eudora accediendo a la clave de registro: SoftwareQualcommEudoraCommandLine. A continuación, el gusano escanea la base de datos de correos salientes de Eudora (los archivos OUT.MBX), obtiene direcciones de allí y las almacena en la lista a la que se enviará el mensaje infectado. Parece que el gusano también agrega la dirección de correo electrónico "support@microsoft.com" a esta lista. Luego, el gusano prepara el archivo C: USER.MSG que se utilizará para inicializar el sistema sendmail de Eudora. El gusano escribe allí todos los datos necesarios para enviar el mensaje con la conexión infectada:
A continuación, el gusano abre el archivo C: USER.MSG mediante una función de Windows que activa el sendmail de Eudora. Robo de archivos de contraseñaAl instalar en el sistema e infectar archivos, el gusano también busca archivos de contraseñas de Windows (archivos .PWL), lee los datos de las contraseñas desde allí y los adjunta al cuerpo del archivo infectado. El gusano no envía las contraseñas a ninguna dirección de Internet, sino que las mantiene unidas a los archivos infectados. Como resultado, las contraseñas robadas abandonan la computadora solo en caso de que el gusano propague sus copias a los canales de Internet o IRC. Rutinas de carga útilEl gusano tiene muchas rutinas de carga útil que se activan según la fecha y hora del sistema. El gusano por estas rutinas: – Detiene la computadora lanzando un número ilimitado de hilos. – Sobrescribe la clave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings con el valor "AutoRefresh = 0". – Cambia la configuración de Internet Explorer. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerMain, los gusanos establecen la "Página de inicio" en "http://www.whitehouse.com/" y "Página de búsqueda" en "http://www.bigboobies.com", y desactiva la caché de Internet. actualización. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl y SOFTWAREMicrosoftInternet ExplorerTypedURLs, el gusano establece la página web "http://www.gayextreme.com/queer/handle-it.html" en la primera posición de las páginas web utilizadas recientemente; establece "SearchURL" en "http://www.fetishrealm.com/fatgirls/pic3.htm"; – Al volver a escribir los conjuntos de claves de registro de SoftwareMirabilisICQBookmarks:
– Elimina todas las claves de
– Establece la configuración de Windows:
– Crea archivos C: POEM1.TXT o C: POEM2.TXT, escribe uno de los textos allí (ver a continuación) y los abre con NOTEPAD.EXE. Los textos se ven de la siguiente manera:
Las rutinas de la carga útil del gusano también borran o modifican la configuración miscelanea de Windows, minimizan las configuraciones de Copia de seguridad y ScanDisk, borran la copia de seguridad del Registro, etc. |
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |