ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Tetris

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano IRC que se propaga a través de canales IRC. El gusano en sí es una aplicación Win32 de aproximadamente 70 Kb de tamaño. Tiene dos rutinas principales: infección y juego, que se activan cuando se ejecuta el programa infectado. El primero infecta una computadora para que propague las copias del gusano aún más a los chats de IRC; el segundo muestra un juego "Tetris" que se utiliza para enmascarar la actividad del gusano: esta rutina emula el juego real y completo "Tetris".

Para propagarse, el gusano busca un cliente mIRC en cuatro directorios:

C: Mirc
C: Program Filesmirc
D: mirc D: Program Filesmirc

Si se encuentra uno, el gusano crea archivos adicionales:

C: Windowsscript.bak – programa de script mIRC
C: backup.vbs – Programa VBS que luego completará la instalación
C: Windowssystem.exe – copia del archivo EXE del gusano

El "C: backup.vbs" se registra luego en la clave de registro de ejecución automática como:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C: Backup.vbs

Como resultado, se ejecuta cada vez que el sistema se inicia y luego copia los archivos:

C: Windowsscript.bak al directorio mIRC con el nombre "script.ini"
C: Windowssystem.exe a C: tetris.exe

El archivo "script.ini" es un programa mIRC corto que envía el archivo C: tetris.exe a todos los que ingresan al canal infectado.


Enlace al original