ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Tettona

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es el virus del gusano que se propaga a través de Internet y se adjunta a los correos electrónicos infectados. El gusano también tiene una rutina de puerta trasera.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 35 Kb de longitud (comprimido por Petite, tamaño descomprimido – aproximadamente 75 Kb), escrito en Microsoft Visual C ++.

Los textos y los nombres de archivo adjuntos en los mensajes infectados son diferentes, dependen de la fecha actual y del soporte en idioma italiano:

Los sujetos son:

Increíble .. Incredibile .. ¡Urgente! (vedi allegato) Qualsiasi cosa fai, falla al meglio.

El cuerpo del mensaje comienza con el texto "Hola" o "Ciao", luego los cuerpos son:

 mira este interesante archivo
 okkio all'allegato ;-)
 devi assolutamente vedere il file che ti ho allegato.
 apri subito l'allegato, e 'MOLTO interessante.

El cuerpo del mensaje se completa con "A presto ..." o "Adiós". texto.

Archivos adjuntos:

   tettona.exe
   euro.exe
   tattoo.exe

El gusano se activa a partir del correo electrónico infectado solo en caso de que un usuario haga clic en el archivo adjunto. El gusano luego se instala en el sistema, ejecuta la rutina de propagación y la puerta trasera.

Instalación

Al instalar el gusano se copia al directorio de Windows con el nombre DLLMGR32.EXE y lo registra en la clave de ejecución automática del registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

El gusano muestra un mensaje de error falso:

 Error
  VBRUN49.DLL no encontrado!
Extensión

Para enviar mensajes infectados, el gusano utiliza una conexión directa al servidor SMTP predeterminado, luego abre la base de datos WAB (Libreta de direcciones de Windows) y envía mensajes a todas las direcciones que se encuentran allí.

Puerta trasera

El procedimiento de puerta trasera abre la conexión en el puerto 5001 y escucha el "maestro". Luego procesa las siguientes instrucciones:

 "HELO" - responde con el texto "Hola, chico"
 "ESCANEAR": escanea todos los directorios e informes dir / files allí (como el comando DIR remoto)
 "EXEC": ejecuta el archivo especificado
 "UNINST": se elimina del sistema, incluida la clave de registro "Ejecutar".
 "VIEW" - muestra para "masterizar" el archivo especificado
 "DOWN" - descarga al archivo especificado "maestro"
Carga útil

El 12 de enero, el gusano muestra el mensaje:

 Hola,

  Ciao,
  computadora il tuo � infettato dal virus Fral�.
  Certo che devi essere proprio un pirlone,
  por esserti fatto fregare dal mio stupidissimo gusano.
  Va b�, v�, non ti preoccupare, oggi non sono in vena di cattiverie,
  ed � anche un giorno festivo per me.

  Buona giornata ..
  por 4nt4R35

Enlace al original