ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Toil

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de virus que se propaga a través de Internet adjunto al correo electrónico infectado e infecta aplicaciones de Win32 en computadoras locales y recursos de red. Utiliza la biblioteca {"Win32.InvictusDLL": Win32_InvictusDLL} para infectar archivos.

La estructura de los archivos infectados aparece de la siguiente manera:

  � ===================== � 
  � infectado � 
  � host del archivo � 
  � � 
  � -------------------- �� 
  ��polimórfico �� 
  �� INVICTO �� 
  �� �� 
  � + ------------------- + � 
  ��body INVICTUS.DLL �� 
  � + ------------------- + � 
  ��un cuerpo de gusano �� 
  �L -------------------- � 
 L ===================== -

Cuando se inicia un archivo infectado, el flujo de control pasa al código polimórfico de la biblioteca INVICTUS; esto se hace de forma inmediata, si el punto de entrada del programa apunta directamente al código del virus, o según la estructura del host, si "Obscurecimiento del punto de entrada" " se utilizó. Este código descifra y crea, en un disco, la biblioteca INVICTUS.DLL en una carpeta% SYSTEM%, y el código del gusano en una carpeta% TEMP% con un nombre de archivo aleatorio, y luego inicia el gusano.

El archivo del gusano es una aplicación de Windows (archivo PE EXE) de aproximadamente 8 Kb de longitud y está escrito en ensamblador.

Instalación

Cuando se inicia el gusano, se instala en el sistema y luego activa su rutina de enviar mensajes de correo electrónico e infectar archivos Win32 y la rutina de carga.

Durante la instalación, el gusano se copia en un directorio de Windows con un nombre de archivo aleatorio y escribe los siguientes valores en SYSTEM.INI:

[boot] shell = Explorer.exe% worm name% Esto se hace para que el gusano no se ejecute al inicio de Windows (solo en Windows 9x / ME).

Extensión

El gusano utiliza un motor de búsqueda de "páginas blancas ICQ" para buscar direcciones de correo electrónico. Envía una consulta de búsqueda al motor y luego extrae las direcciones de correo electrónico de los resultados de la búsqueda (desde una página HTML que contiene resultados de búsqueda). Las palabras para la consulta de búsqueda se eligen de la siguiente lista:

MPB
sexo
historia
mp3
amigos
avión
Ferrari
orgasmo
amistad
Mierda
amor
Deportes
fiesta
coño
Estados Unidos
audio

El gusano envía mensajes infectados a todos los correos electrónicos encontrados. El gusano usa una conexión directa a un servidor SMTP, que es seleccionado por el gusano.

Los mensajes infectados contienen un cuerpo vacío y su tema se selecciona de la siguiente lista:

¡Bin Laden toillete paper!
Sadam Hussein y BinLaden EN AMOR
Bush se folla a Bin Laden apenas <: P
¿Osama Bin Laden es MALO?
¿Estados Unidos contra la Convención de Ginebra?
El correo de Anthrax es verdadero (no es una broma)
Armas biológicas: ¡Prevención!
Follando a un mulá en Islamabad
¡Oh, papel higiénico de Bin Laden!
Sadam e BinLaden apaixonados
Bush fudendo Bin Laden <: P
Ser� que o Osama � mal-amado?
EUA agride conven�ao de genova?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
Fudendo um mul� em Islamabad
Bin Landen Toalettpapper
Sadam Hussein y BinLaden �rf�r�lsk
ade Bush knullar Bin Laden h�rt <: P
Osar Osama Bin Laden inte �lskad?
USAr USA emot Geneve �verenskom melsen?
Anthrax brevet existerar (det �r inget sk�mt)
Biologiska vapen: F�rhindra!
Knulla en musulmán i Islamabad
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Aim�?
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Arme Biologique: Pr�ventions!
Baiser un mullah � Islamabad
Xarti toualetas Bin Landen !!
Hussein y Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H me presiona Antraka, einai gegonos
Biologika wpla: Prostasia!
Gamontas ena Moula sto Islamabad

Nombre del archivo adjunto : BINLADEN_BRASIL.EXE

El gusano utiliza una infracción de seguridad IFRAME en Microsoft Internet Explorer en sus mensajes, por lo que puede iniciarse automáticamente cuando se está viendo un mensaje infectado.

Infectar archivos en discos locales

El gusano infecta los siguientes archivos en un directorio de Windows:

HH.EXE
NETSTAT.EXE
CALC.EXE

Además, el gusano encuentra todos los programas en el registro de Windows (la mayoría de las aplicaciones lanzadas en la computadora están registradas aquí) y los infecta. Luego, el gusano encuentra una copia iniciada de EXPLORER.EXE, lo cierra e infecta el archivo.

Infección de archivos en recursos de red

El gusano enumera los recursos de red (discos y directorios remotos) y se conecta a ellos. Intenta copiarse a los recursos de red con un nombre de archivo aleatorio en los siguientes directorios:

GANAR
WIN2000
WIN2K
WINNT
WINDOWS
WINXP

y se registra en un sistema remoto para iniciarse automáticamente con Windows (solo Windows 9x / ME).

Rutina de carga útil

Dependiendo del contador aleatorio, el gusano dibuja la siguiente cadena un número aleatorio de veces con un color aleatorio:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU DIOS SHIVA TUPA DIOS DEUS

y muestra un cuadro de mensaje:

Luego, el gusano "duerme" durante 10 segundos y desordena el contenido de la pantalla.

Otro

El gusano intenta encontrar y cerrar las siguientes ventanas:

Antiviral Toolkit Pro
Monitor AVP
Norton Antivirus
Alarma de zona
Libertad
Avconsol
McAfee VirusScan
Vshwin32

El gusano crea la siguiente clave de registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden

y establece sus valores para que permita un acceso completo a la unidad C: desde una red local.

El gusano borra la siguiente clave de registro:

HKLMSystemCurrentControlSetServicesVxDNAVAP

y el siguiente valor de registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

El gusano escribe todas las contraseñas de la red en caché a% WINDOWS% BinLaden.ini.

El gusano contiene el siguiente texto:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, todas las personas en #vxers
Y por supuesto, Osama Bin Laden. ¡Mantenga el buen trabajo con Antrhax, hombre!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Codificado por NBK [MATRiX]
Cada brasileño HATES USA … Intenta sacar a Amazon DE NOSOTROS


Enlace al original