Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano IRC que se propaga a través de canales IRC. El gusano en sí es una aplicación Win32 de aproximadamente 70 Kb de tamaño. Tiene dos rutinas principales: infección y juego, que se activan cuando se ejecuta el programa infectado. El primero infecta una computadora para que propague las copias del gusano aún más a los chats de IRC; el segundo muestra un juego "Tetris" que se utiliza para enmascarar la actividad del gusano: esta rutina emula el juego real y completo "Tetris".

Para propagarse, el gusano busca un cliente mIRC en cuatro directorios:

C: Mirc
C: Program Filesmirc
D: mirc D: Program Filesmirc

Si se encuentra uno, el gusano crea archivos adicionales:

C: Windowsscript.bak – programa de script mIRC
C: backup.vbs – Programa VBS que luego completará la instalación
C: Windowssystem.exe – copia del archivo EXE del gusano

El "C: backup.vbs" se registra luego en la clave de registro de ejecución automática como:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C: Backup.vbs

Como resultado, se ejecuta cada vez que el sistema se inicia y luego copia los archivos:

C: Windowsscript.bak al directorio mIRC con el nombre "script.ini"
C: Windowssystem.exe a C: tetris.exe

El archivo "script.ini" es un programa mIRC corto que envía el archivo C: tetris.exe a todos los que ingresan al canal infectado.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano IRC que se propaga a través de canales IRC. El gusano en sí es una aplicación Win32 de aproximadamente 70 Kb de tamaño. Tiene dos rutinas principales: infección y juego, que se activan cuando se ejecuta el programa infectado. El primero infecta una computadora para que propague las copias del gusano aún más a los chats de IRC; el segundo muestra un juego "Tetris" que se utiliza para enmascarar la actividad del gusano: esta rutina emula el juego real y completo "Tetris". Para propagarse, el gusano busca un cliente mIRC en cuatro directorios: C: Mirc C: Program Filesmirc D: mirc D: Program Filesmirc Si se encuentra uno, el gusano crea archivos adicionales: C: Windowsscript.bak – programa de script mIRC C: backup.vbs – Programa VBS que luego completará la instalación C: Windowssystem.exe – copia del archivo EXE del gusano El "C: backup.vbs" se registra luego en la clave de registro de ejecución automática como: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SysFile = C: Backup.vbs Como resultado, se ejecuta cada vez que el sistema se inicia y luego copia los archivos: C: Windowsscript.bak al directorio mIRC con el nombre "script.ini" C: Windowssystem.exe a C: tetris.exe El archivo "script.ini" es un programa mIRC corto que envía el archivo C: tetris.exe a todos los que ingresan al canal infectado.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Tetris

Detalles técnicos