Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de Internet que se propaga en correos electrónicos infectados al usar MS Outlook. El gusano en sí es un ejecutable de Windows escrito en Delphi y comprimido por la utilidad de compresión Aspack PE EXE. El tamaño del archivo del gusano (comprimido) es de aproximadamente 200K, el tamaño original (sin comprimir) es de aproximadamente 400K.

El gusano se instala en el sistema y luego periódicamente accede a MS Outlook y envía mensajes infectados. No hay rutinas de carga útil encontradas en el código del gusano.

El gusano oculta su actividad pretendiendo ser una utilidad de "Personal ID Generator". Esta utilidad utiliza cadenas en la codificación china, por lo que no puede ser realmente visible en Windows que no sea chino.

Al mismo tiempo que el gusano muestra la ventana "Personal ID Generator", se instala en Windows. Para hacer esto, obtiene los nombres de los directorios del sistema de Windows y Windows y se copia allí con el nombre "SYSID.EXE". En caso de que el gusano no pueda detectar el directorio de Windows, usa nombres codificados:

C: WINNTSYSTEM32SYSID.EXE
C: WINNTSYSID.EXE
C: WINDOWSSYSTEMSYSID.EXE
C: WINDOWSSYSID.EXE

Para ejecutar cada vez que se inicia Windows, el gusano registra su copia en el registro del sistema en la sección de ejecución automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"

El gusano usa un truco para ocultar este registro. Al activarse, el gusano borra ese registro del registro y, al salir, lo restaura. Para mantenerse activo el mayor tiempo posible, el gusano deja su copia en la memoria de Windows como una aplicación oculta (servicio). Por lo tanto, el gusano está activo hasta el momento en que se cierra Windows, y el registro del gusano en el registro del sistema no está visible. En el momento en que Windows se cierra, el gusano restaura el registro.

Como resultado, el RegEdit no puede leer el registro del gusano: simplemente no existe cuando Windows ha completado su procedimiento de inicio y hasta el momento en que se reinicia Windows:

Después de cada reinicio, Windows obtiene un nombre de archivo de gusano del registro del sistema y lo ejecuta; el gusano borra ese registro y permanece en la memoria del sistema esperando el reinicio de Windows. En ese momento, el registro del gusano no existe.
Cuando Windows se apaga, el gusano restaura su registro y está listo para volver a ejecutar el gusano el próximo reinicio de Windows. En ese momento, el registro de registro existe, pero no puede ser leído por las utilidades estándar.

Para propagarse a través de mensajes de correo electrónico, el gusano ejecuta un asistente de archivos. Este archivo es una aplicación VisualBasicScript y el gusano lo crea en el directorio del sistema de Windows con el nombre WINVER.VBS. El programa VBS en este archivo obtiene acceso a MS Outlook, obtiene nombres seleccionados al azar de la AddressBook y crea y envía mensajes a estas direcciones. El número de direcciones infectadas depende del número total de direcciones en las listas de direcciones. En caso de que haya menos de 200 direcciones, el gusano envía mensajes al 10% de ellas; de lo contrario, (más de 200 mensajes) el gusano envía correos electrónicos infectados al 2% de ellos.

El cuerpo del mensaje infectado está vacío. El mensaje Asunto se selecciona al azar de todas las variantes de tema encontradas en la lista de Outlook "Elementos enviados".

El mensaje tiene cuatro archivos adjuntos. Primero está la copia EXE del gusano con un nombre seleccionado aleatoriamente de 100 variantes (ver a continuación); segundo, el archivo adjunto se selecciona al azar entre los archivos .JPEG, .JPG, .DOC y .XLS que se encuentran en la carpeta "C: Mis documentos". Otros dos archivos adjuntos son mensajes de correo electrónico seleccionados al azar de la lista "Elementos enviados".

La lista de posibles nombres de gusanos EXE aparece de la siguiente manera:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Tome un Rest.exe
Tome Easy.exe
No sobre time.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Haga clic en Me.exe
Apple.exe
Nuevo producto Show.exe
Mi Resume.exe
Boss Game.exe
Boy y Girl.exe
WinZip9.exe
Good Job.exe
New Language.exe
Key User.exe
My Letter.exe
My Sister.exe
My Mother.exe
My Father.exe
Mi Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
Cómo estás You.exe
586 Tech.exe
Cell Phone.exe
Sexo Picture.exe
The Young King.exe
Oscar.exe
El Happy Prince.exe
El Star Child.exe
Question.exe
Problemas para Today.exe
Acknowledgments.exe
Game99.exe
True o False.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Elija Games.exe
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
Nuevo Joke.exe
Nuevo System.exe
Nuevo Job.exe
New Chance.exe
Hacer más dinero.exe
Ayuda Yourself.exe

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de Internet que se propaga en correos electrónicos infectados al usar MS Outlook. El gusano en sí es un ejecutable de Windows escrito en Delphi y comprimido por la utilidad de compresión Aspack PE EXE. El tamaño del archivo del gusano (comprimido) es de aproximadamente 200K, el tamaño original (sin comprimir) es de aproximadamente 400K. El gusano se instala en el sistema y luego periódicamente accede a MS Outlook y envía mensajes infectados. No hay rutinas de carga útil encontradas en el código del gusano. El gusano oculta su actividad pretendiendo ser una utilidad de "Personal ID Generator". Esta utilidad utiliza cadenas en la codificación china, por lo que no puede ser realmente visible en Windows que no sea chino. Al mismo tiempo que el gusano muestra la ventana "Personal ID Generator", se instala en Windows. Para hacer esto, obtiene los nombres de los directorios del sistema de Windows y Windows y se copia allí con el nombre "SYSID.EXE". En caso de que el gusano no pueda detectar el directorio de Windows, usa nombres codificados: C: WINNTSYSTEM32SYSID.EXE C: WINNTSYSID.EXE C: WINDOWSSYSTEMSYSID.EXE C: WINDOWSSYSID.EXE Para ejecutar cada vez que se inicia Windows, el gusano registra su copia en el registro del sistema en la sección de ejecución automática: HKLMSoftwareMicrosoftWindowsCurrentVersionRun WindowsVersion = "sysid" El gusano usa un truco para ocultar este registro. Al activarse, el gusano borra ese registro del registro y, al salir, lo restaura. Para mantenerse activo el mayor tiempo posible, el gusano deja su copia en la memoria de Windows como una aplicación oculta (servicio). Por lo tanto, el gusano está activo hasta el momento en que se cierra Windows, y el registro del gusano en el registro del sistema no está visible. En el momento en que Windows se cierra, el gusano restaura el registro. Como resultado, el RegEdit no puede leer el registro del gusano: simplemente no existe cuando Windows ha completado su procedimiento de inicio y hasta el momento en que se reinicia Windows: Después de cada reinicio, Windows obtiene un nombre de archivo de gusano del registro del sistema y lo ejecuta; el gusano borra ese registro y permanece en la memoria del sistema esperando el reinicio de Windows. En ese momento, el registro del gusano no existe. Cuando Windows se apaga, el gusano restaura su registro y está listo para volver a ejecutar el gusano el próximo reinicio de Windows. En ese momento, el registro de registro existe, pero no puede ser leído por las utilidades estándar. Para propagarse a través de mensajes de correo electrónico, el gusano ejecuta un asistente de archivos. Este archivo es una aplicación VisualBasicScript y el gusano lo crea en el directorio del sistema de Windows con el nombre WINVER.VBS. El programa VBS en este archivo obtiene acceso a MS Outlook, obtiene nombres seleccionados al azar de la AddressBook y crea y envía mensajes a estas direcciones. El número de direcciones infectadas depende del número total de direcciones en las listas de direcciones. En caso de que haya menos de 200 direcciones, el gusano envía mensajes al 10% de ellas; de lo contrario, (más de 200 mensajes) el gusano envía correos electrónicos infectados al 2% de ellos. El cuerpo del mensaje infectado está vacío. El mensaje Asunto se selecciona al azar de todas las variantes de tema encontradas en la lista de Outlook "Elementos enviados". El mensaje tiene cuatro archivos adjuntos. Primero está la copia EXE del gusano con un nombre seleccionado aleatoriamente de 100 variantes (ver a continuación); segundo, el archivo adjunto se selecciona al azar entre los archivos .JPEG, .JPG, .DOC y .XLS que se encuentran en la carpeta "C: Mis documentos". Otros dos archivos adjuntos son mensajes de correo electrónico seleccionados al azar de la lista "Elementos enviados". La lista de posibles nombres de gusanos EXE aparece de la siguiente manera: pdd2000.exe Tools.exe Pcc99.exe 98fix.exe Book.exe Phone.exe Car.exe Game.exe Office98fix.exe Graphics.exe ScreenSaver.exe Joke.exe Window.exe Mp3Player.exe WinAmp.exe Mouse.exe FTP_Pro.exe WWW.exe Ghost7.exe MazeGame.exe 3DS.exe Source.exe Action.exe Color.exe Color_Joke.exe GameStyle.exe HAHA.exe MyResume.exe EasyGame.exe Jonny.exe BallGame.exe MazeGame.exe MAC9.exe Desk_Demo.exe Girl.exe GirlGame.exe GoodGame.exe FreedMan.exe Hurry Up.exe Tome un Rest.exe Tome Easy.exe No sobre time.exe Meeting.exe Milk.exe PlayBoy.exe BadGirl.exe BadBoy.exe PenHouse.exe Tape.exe Display.exe Haga clic en Me.exe Apple.exe Nuevo producto Show.exe Mi Resume.exe Boss Game.exe Boy y Girl.exe WinZip9.exe Good Job.exe New Language.exe Key User.exe My Letter.exe My Sister.exe My Mother.exe My Father.exe Mi Picture.exe Merry.exe Happy.exe Happy New Year.exe Cómo estás You.exe 586 Tech.exe Cell Phone.exe Sexo Picture.exe The Young King.exe Oscar.exe El Happy Prince.exe El Star Child.exe Question.exe Problemas para Today.exe Acknowledgments.exe Game99.exe True o False.exe Good Art.exe News.exe Stock News.exe Music.exe MP3.exe Elija Games.exe Life-Styles.exe Life-Cycles.exe Sometimes.exe Summary.exe Market.exe MP3 Tools.exe Cheat.exe Nuevo Joke.exe Nuevo System.exe Nuevo Job.exe New Chance.exe Hacer más dinero.exe Ayuda Yourself.exe
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Sysid

Detalles técnicos