Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es el virus del gusano que se propaga a través de Internet y se adjunta a los correos electrónicos infectados. El gusano también tiene una rutina de puerta trasera.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 35 Kb de longitud (comprimido por Petite, tamaño descomprimido – aproximadamente 75 Kb), escrito en Microsoft Visual C ++.

Los textos y los nombres de archivo adjuntos en los mensajes infectados son diferentes, dependen de la fecha actual y del soporte en idioma italiano:

Los sujetos son:

Increíble .. Incredibile .. ¡Urgente! (vedi allegato) Qualsiasi cosa fai, falla al meglio.

El cuerpo del mensaje comienza con el texto "Hola" o "Ciao", luego los cuerpos son:
 mira este interesante archivo
 okkio all'allegato ;-)
 devi assolutamente vedere il file che ti ho allegato.
 apri subito l'allegato, e 'MOLTO interessante.

El cuerpo del mensaje se completa con "A presto ..." o "Adiós". texto.

Archivos adjuntos:

   tettona.exe
   euro.exe
   tattoo.exe

El gusano se activa a partir del correo electrónico infectado solo en caso de que un usuario haga clic en el archivo adjunto. El gusano luego se instala en el sistema, ejecuta la rutina de propagación y la puerta trasera.

Instalación

Al instalar el gusano se copia al directorio de Windows con el nombre DLLMGR32.EXE y lo registra en la clave de ejecución automática del registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

El gusano muestra un mensaje de error falso:

 Error
  VBRUN49.DLL no encontrado!

Extensión

Para enviar mensajes infectados, el gusano utiliza una conexión directa al servidor SMTP predeterminado, luego abre la base de datos WAB (Libreta de direcciones de Windows) y envía mensajes a todas las direcciones que se encuentran allí.

Puerta trasera

El procedimiento de puerta trasera abre la conexión en el puerto 5001 y escucha el "maestro". Luego procesa las siguientes instrucciones:

 "HELO" - responde con el texto "Hola, chico"
 "ESCANEAR": escanea todos los directorios e informes dir / files allí (como el comando DIR remoto)
 "EXEC": ejecuta el archivo especificado
 "UNINST": se elimina del sistema, incluida la clave de registro "Ejecutar".
 "VIEW" - muestra para "masterizar" el archivo especificado
 "DOWN" - descarga al archivo especificado "maestro"

Carga útil

El 12 de enero, el gusano muestra el mensaje:

 Hola,

  Ciao,
  computadora il tuo � infettato dal virus Fral�.
  Certo che devi essere proprio un pirlone,
  por esserti fatto fregare dal mio stupidissimo gusano.
  Va b�, v�, non ti preoccupare, oggi non sono in vena di cattiverie,
  ed � anche un giorno festivo per me.

  Buona giornata ..
  por 4nt4R35

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es el virus del gusano que se propaga a través de Internet y se adjunta a los correos electrónicos infectados. El gusano también tiene una rutina de puerta trasera. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 35 Kb de longitud (comprimido por Petite, tamaño descomprimido – aproximadamente 75 Kb), escrito en Microsoft Visual C ++. Los textos y los nombres de archivo adjuntos en los mensajes infectados son diferentes, dependen de la fecha actual y del soporte en idioma italiano: Los sujetos son: Increíble .. Incredibile .. ¡Urgente! (vedi allegato) Qualsiasi cosa fai, falla al meglio. El cuerpo del mensaje comienza con el texto "Hola" o "Ciao", luego los cuerpos son: mira este interesante archivo okkio all'allegato ;-) devi assolutamente vedere il file che ti ho allegato. apri subito l'allegato, e 'MOLTO interessante. El cuerpo del mensaje se completa con "A presto ..." o "Adiós". texto. Archivos adjuntos: tettona.exe euro.exe tattoo.exe El gusano se activa a partir del correo electrónico infectado solo en caso de que un usuario haga clic en el archivo adjunto. El gusano luego se instala en el sistema, ejecuta la rutina de propagación y la puerta trasera. Instalación Al instalar el gusano se copia al directorio de Windows con el nombre DLLMGR32.EXE y lo registra en la clave de ejecución automática del registro del sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe El gusano muestra un mensaje de error falso: Error VBRUN49.DLL no encontrado! Extensión Para enviar mensajes infectados, el gusano utiliza una conexión directa al servidor SMTP predeterminado, luego abre la base de datos WAB (Libreta de direcciones de Windows) y envía mensajes a todas las direcciones que se encuentran allí. Puerta trasera El procedimiento de puerta trasera abre la conexión en el puerto 5001 y escucha el "maestro". Luego procesa las siguientes instrucciones: "HELO" - responde con el texto "Hola, chico" "ESCANEAR": escanea todos los directorios e informes dir / files allí (como el comando DIR remoto) "EXEC": ejecuta el archivo especificado "UNINST": se elimina del sistema, incluida la clave de registro "Ejecutar". "VIEW" - muestra para "masterizar" el archivo especificado "DOWN" - descarga al archivo especificado "maestro" Carga útil El 12 de enero, el gusano muestra el mensaje: Hola, Ciao, computadora il tuo � infettato dal virus Fral�. Certo che devi essere proprio un pirlone, por esserti fatto fregare dal mio stupidissimo gusano. Va b�, v�, non ti preoccupare, oggi non sono in vena di cattiverie, ed � anche un giorno festivo per me. Buona giornata .. por 4nt4R35
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Tettona

Detalles técnicos

Instalación

Extensión

Puerta trasera

Carga útil