ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm |
Plataforma | Win32 |
Descripción |
Detalles técnicosEste es un gusano de virus que se propaga a través de Internet adjunto al correo electrónico infectado e infecta aplicaciones de Win32 en computadoras locales y recursos de red. Utiliza la biblioteca {"Win32.InvictusDLL": Win32_InvictusDLL} para infectar archivos. La estructura de los archivos infectados aparece de la siguiente manera: � ===================== � � infectado � � host del archivo � � � � -------------------- �� ��polimórfico �� �� INVICTO �� �� �� � + ------------------- + � ��body INVICTUS.DLL �� � + ------------------- + � ��un cuerpo de gusano �� �L -------------------- � L ===================== - Cuando se inicia un archivo infectado, el flujo de control pasa al código polimórfico de la biblioteca INVICTUS; esto se hace de forma inmediata, si el punto de entrada del programa apunta directamente al código del virus, o según la estructura del host, si "Obscurecimiento del punto de entrada" " se utilizó. Este código descifra y crea, en un disco, la biblioteca INVICTUS.DLL en una carpeta% SYSTEM%, y el código del gusano en una carpeta% TEMP% con un nombre de archivo aleatorio, y luego inicia el gusano. El archivo del gusano es una aplicación de Windows (archivo PE EXE) de aproximadamente 8 Kb de longitud y está escrito en ensamblador. Instalación Cuando se inicia el gusano, se instala en el sistema y luego activa su rutina de enviar mensajes de correo electrónico e infectar archivos Win32 y la rutina de carga. Durante la instalación, el gusano se copia en un directorio de Windows con un nombre de archivo aleatorio y escribe los siguientes valores en SYSTEM.INI: [boot] shell = Explorer.exe% worm name% Esto se hace para que el gusano no se ejecute al inicio de Windows (solo en Windows 9x / ME). Extensión El gusano utiliza un motor de búsqueda de "páginas blancas ICQ" para buscar direcciones de correo electrónico. Envía una consulta de búsqueda al motor y luego extrae las direcciones de correo electrónico de los resultados de la búsqueda (desde una página HTML que contiene resultados de búsqueda). Las palabras para la consulta de búsqueda se eligen de la siguiente lista:
El gusano envía mensajes infectados a todos los correos electrónicos encontrados. El gusano usa una conexión directa a un servidor SMTP, que es seleccionado por el gusano. Los mensajes infectados contienen un cuerpo vacío y su tema se selecciona de la siguiente lista:
Nombre del archivo adjunto : BINLADEN_BRASIL.EXE El gusano utiliza una infracción de seguridad IFRAME en Microsoft Internet Explorer en sus mensajes, por lo que puede iniciarse automáticamente cuando se está viendo un mensaje infectado. Infectar archivos en discos locales El gusano infecta los siguientes archivos en un directorio de Windows:
Además, el gusano encuentra todos los programas en el registro de Windows (la mayoría de las aplicaciones lanzadas en la computadora están registradas aquí) y los infecta. Luego, el gusano encuentra una copia iniciada de EXPLORER.EXE, lo cierra e infecta el archivo. Infección de archivos en recursos de red El gusano enumera los recursos de red (discos y directorios remotos) y se conecta a ellos. Intenta copiarse a los recursos de red con un nombre de archivo aleatorio en los siguientes directorios:
y se registra en un sistema remoto para iniciarse automáticamente con Windows (solo Windows 9x / ME). Rutina de carga útil Dependiendo del contador aleatorio, el gusano dibuja la siguiente cadena un número aleatorio de veces con un color aleatorio:
y muestra un cuadro de mensaje: Luego, el gusano "duerme" durante 10 segundos y desordena el contenido de la pantalla. Otro El gusano intenta encontrar y cerrar las siguientes ventanas:
El gusano crea la siguiente clave de registro:
y establece sus valores para que permita un acceso completo a la unidad C: desde una red local. El gusano borra la siguiente clave de registro:
y el siguiente valor de registro:
El gusano escribe todas las contraseñas de la red en caché a% WINDOWS% BinLaden.ini. El gusano contiene el siguiente texto:
|
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |