Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de virus que se propaga a través de Internet adjunto al correo electrónico infectado e infecta aplicaciones de Win32 en computadoras locales y recursos de red. Utiliza la biblioteca {"Win32.InvictusDLL": Win32_InvictusDLL} para infectar archivos.

La estructura de los archivos infectados aparece de la siguiente manera:

  � ===================== �   � infectado �   � host del archivo �   � �   � -------------------- ��   ��polimórfico ��   �� INVICTO ��   �� ��   � + ------------------- + �   ��body INVICTUS.DLL ��   � + ------------------- + �   ��un cuerpo de gusano ��   �L -------------------- �  L ===================== -

Cuando se inicia un archivo infectado, el flujo de control pasa al código polimórfico de la biblioteca INVICTUS; esto se hace de forma inmediata, si el punto de entrada del programa apunta directamente al código del virus, o según la estructura del host, si "Obscurecimiento del punto de entrada" " se utilizó. Este código descifra y crea, en un disco, la biblioteca INVICTUS.DLL en una carpeta% SYSTEM%, y el código del gusano en una carpeta% TEMP% con un nombre de archivo aleatorio, y luego inicia el gusano.

El archivo del gusano es una aplicación de Windows (archivo PE EXE) de aproximadamente 8 Kb de longitud y está escrito en ensamblador.

Instalación

Cuando se inicia el gusano, se instala en el sistema y luego activa su rutina de enviar mensajes de correo electrónico e infectar archivos Win32 y la rutina de carga.

Durante la instalación, el gusano se copia en un directorio de Windows con un nombre de archivo aleatorio y escribe los siguientes valores en SYSTEM.INI:

[boot] shell = Explorer.exe% worm name% Esto se hace para que el gusano no se ejecute al inicio de Windows (solo en Windows 9x / ME).

Extensión

El gusano utiliza un motor de búsqueda de "páginas blancas ICQ" para buscar direcciones de correo electrónico. Envía una consulta de búsqueda al motor y luego extrae las direcciones de correo electrónico de los resultados de la búsqueda (desde una página HTML que contiene resultados de búsqueda). Las palabras para la consulta de búsqueda se eligen de la siguiente lista:

MPB
sexo
historia
mp3
amigos
avión
Ferrari
orgasmo
amistad
Mierda
amor
Deportes
fiesta
coño
Estados Unidos
audio

El gusano envía mensajes infectados a todos los correos electrónicos encontrados. El gusano usa una conexión directa a un servidor SMTP, que es seleccionado por el gusano.

Los mensajes infectados contienen un cuerpo vacío y su tema se selecciona de la siguiente lista:

¡Bin Laden toillete paper!
Sadam Hussein y BinLaden EN AMOR
Bush se folla a Bin Laden apenas <: P
¿Osama Bin Laden es MALO?
¿Estados Unidos contra la Convención de Ginebra?
El correo de Anthrax es verdadero (no es una broma)
Armas biológicas: ¡Prevención!
Follando a un mulá en Islamabad
¡Oh, papel higiénico de Bin Laden!
Sadam e BinLaden apaixonados
Bush fudendo Bin Laden <: P
Ser� que o Osama � mal-amado?
EUA agride conven�ao de genova?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
Fudendo um mul� em Islamabad
Bin Landen Toalettpapper
Sadam Hussein y BinLaden �rf�r�lsk
ade Bush knullar Bin Laden h�rt <: P
Osar Osama Bin Laden inte �lskad?
USAr USA emot Geneve �verenskom melsen?
Anthrax brevet existerar (det �r inget sk�mt)
Biologiska vapen: F�rhindra!
Knulla en musulmán i Islamabad
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Aim�?
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Arme Biologique: Pr�ventions!
Baiser un mullah � Islamabad
Xarti toualetas Bin Landen !!
Hussein y Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H me presiona Antraka, einai gegonos
Biologika wpla: Prostasia!
Gamontas ena Moula sto Islamabad

Nombre del archivo adjunto : BINLADEN_BRASIL.EXE

El gusano utiliza una infracción de seguridad IFRAME en Microsoft Internet Explorer en sus mensajes, por lo que puede iniciarse automáticamente cuando se está viendo un mensaje infectado.

Infectar archivos en discos locales

El gusano infecta los siguientes archivos en un directorio de Windows:

HH.EXE
NETSTAT.EXE
CALC.EXE

Además, el gusano encuentra todos los programas en el registro de Windows (la mayoría de las aplicaciones lanzadas en la computadora están registradas aquí) y los infecta. Luego, el gusano encuentra una copia iniciada de EXPLORER.EXE, lo cierra e infecta el archivo.

Infección de archivos en recursos de red

El gusano enumera los recursos de red (discos y directorios remotos) y se conecta a ellos. Intenta copiarse a los recursos de red con un nombre de archivo aleatorio en los siguientes directorios:

GANAR
WIN2000
WIN2K
WINNT
WINDOWS
WINXP

y se registra en un sistema remoto para iniciarse automáticamente con Windows (solo Windows 9x / ME).

Rutina de carga útil

Dependiendo del contador aleatorio, el gusano dibuja la siguiente cadena un número aleatorio de veces con un color aleatorio:

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU DIOS SHIVA TUPA DIOS DEUS

y muestra un cuadro de mensaje:

Luego, el gusano "duerme" durante 10 segundos y desordena el contenido de la pantalla.

Otro

El gusano intenta encontrar y cerrar las siguientes ventanas:

Antiviral Toolkit Pro
Monitor AVP
Norton Antivirus
Alarma de zona
Libertad
Avconsol
McAfee VirusScan
Vshwin32

El gusano crea la siguiente clave de registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden

y establece sus valores para que permita un acceso completo a la unidad C: desde una red local.

El gusano borra la siguiente clave de registro:

HKLMSystemCurrentControlSetServicesVxDNAVAP

y el siguiente valor de registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

El gusano escribe todas las contraseñas de la red en caché a% WINDOWS% BinLaden.ini.

El gusano contiene el siguiente texto:

Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, todas las personas en #vxers
Y por supuesto, Osama Bin Laden. ¡Mantenga el buen trabajo con Antrhax, hombre!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Codificado por NBK [MATRiX]
Cada brasileño HATES USA … Intenta sacar a Amazon DE NOSOTROS

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de virus que se propaga a través de Internet adjunto al correo electrónico infectado e infecta aplicaciones de Win32 en computadoras locales y recursos de red. Utiliza la biblioteca {"Win32.InvictusDLL": Win32_InvictusDLL} para infectar archivos. La estructura de los archivos infectados aparece de la siguiente manera: � ===================== � � infectado � � host del archivo � � � � -------------------- �� polimórfico �� INVICTO �� + ------------------- + � ��body INVICTUS.DLL �� + ------------------- + � ��un cuerpo de gusano �� L -------------------- � L ===================== - Cuando se inicia un archivo infectado, el flujo de control pasa al código polimórfico de la biblioteca INVICTUS; esto se hace de forma inmediata, si el punto de entrada del programa apunta directamente al código del virus, o según la estructura del host, si "Obscurecimiento del punto de entrada" " se utilizó. Este código descifra y crea, en un disco, la biblioteca INVICTUS.DLL en una carpeta% SYSTEM%, y el código del gusano en una carpeta% TEMP% con un nombre de archivo aleatorio, y luego inicia el gusano. El archivo del gusano es una aplicación de Windows (archivo PE EXE) de aproximadamente 8 Kb de longitud y está escrito en ensamblador. Instalación Cuando se inicia el gusano, se instala en el sistema y luego activa su rutina de enviar mensajes de correo electrónico e infectar archivos Win32 y la rutina de carga. Durante la instalación, el gusano se copia en un directorio de Windows con un nombre de archivo aleatorio y escribe los siguientes valores en SYSTEM.INI: [boot] shell = Explorer.exe% worm name% Esto se hace para que el gusano no se ejecute al inicio de Windows (solo en Windows 9x / ME). Extensión El gusano utiliza un motor de búsqueda de "páginas blancas ICQ" para buscar direcciones de correo electrónico. Envía una consulta de búsqueda al motor y luego extrae las direcciones de correo electrónico de los resultados de la búsqueda (desde una página HTML que contiene resultados de búsqueda). Las palabras para la consulta de búsqueda se eligen de la siguiente lista: MPB sexo historia mp3 amigos avión Ferrari orgasmo amistad Mierda amor Deportes fiesta coño Estados Unidos audio El gusano envía mensajes infectados a todos los correos electrónicos encontrados. El gusano usa una conexión directa a un servidor SMTP, que es seleccionado por el gusano. Los mensajes infectados contienen un cuerpo vacío y su tema se selecciona de la siguiente lista: ¡Bin Laden toillete paper! Sadam Hussein y BinLaden EN AMOR Bush se folla a Bin Laden apenas <: P ¿Osama Bin Laden es MALO? ¿Estados Unidos contra la Convención de Ginebra? El correo de Anthrax es verdadero (no es una broma) Armas biológicas: ¡Prevención! Follando a un mulá en Islamabad ¡Oh, papel higiénico de Bin Laden! Sadam e BinLaden apaixonados Bush fudendo Bin Laden <: P Ser� que o Osama � mal-amado? EUA agride conven�ao de genova? Antraz pelo correio (verdade) Armas biologicas: Previna-se! Fudendo um mul� em Islamabad Bin Landen Toalettpapper Sadam Hussein y BinLaden �rf�r�lsk ade Bush knullar Bin Laden h�rt <: P Osar Osama Bin Laden inte �lskad? USAr USA emot Geneve �verenskom melsen? Anthrax brevet existerar (det �r inget sk�mt) Biologiska vapen: F�rhindra! Knulla en musulmán i Islamabad papier toillette Bin Laden Sadam & BinLaden EN AMOUR Bush nique � donf Bin Laden <: P Osama Bin Laden Mal Aim�? Usa contre la convention de Geneve? Le courrier Anthrax existe vraiment Arme Biologique: Pr�ventions! Baiser un mullah � Islamabad Xarti toualetas Bin Landen !! Hussein y Bin Laden, ERASTES O Bush gamaei agria ton Bin Laden Einai o Osama apotuximenos ston erwta? Amerikh enantia sto synedrio tis Genova? H me presiona Antraka, einai gegonos Biologika wpla: Prostasia! Gamontas ena Moula sto Islamabad Nombre del archivo adjunto : BINLADEN_BRASIL.EXE El gusano utiliza una infracción de seguridad IFRAME en Microsoft Internet Explorer en sus mensajes, por lo que puede iniciarse automáticamente cuando se está viendo un mensaje infectado. Infectar archivos en discos locales El gusano infecta los siguientes archivos en un directorio de Windows: HH.EXE NETSTAT.EXE CALC.EXE Además, el gusano encuentra todos los programas en el registro de Windows (la mayoría de las aplicaciones lanzadas en la computadora están registradas aquí) y los infecta. Luego, el gusano encuentra una copia iniciada de EXPLORER.EXE, lo cierra e infecta el archivo. Infección de archivos en recursos de red El gusano enumera los recursos de red (discos y directorios remotos) y se conecta a ellos. Intenta copiarse a los recursos de red con un nombre de archivo aleatorio en los siguientes directorios: GANAR WIN2000 WIN2K WINNT WINDOWS WINXP y se registra en un sistema remoto para iniciarse automáticamente con Windows (solo Windows 9x / ME). Rutina de carga útil Dependiendo del contador aleatorio, el gusano dibuja la siguiente cadena un número aleatorio de veces con un color aleatorio: ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU DIOS SHIVA TUPA DIOS DEUS y muestra un cuadro de mensaje: Luego, el gusano "duerme" durante 10 segundos y desordena el contenido de la pantalla. Otro El gusano intenta encontrar y cerrar las siguientes ventanas: Antiviral Toolkit Pro Monitor AVP Norton Antivirus Alarma de zona Libertad Avconsol McAfee VirusScan Vshwin32 El gusano crea la siguiente clave de registro: HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden y establece sus valores para que permita un acceso completo a la unidad C: desde una red local. El gusano borra la siguiente clave de registro: HKLMSystemCurrentControlSetServicesVxDNAVAP y el siguiente valor de registro: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Norton Auto-Protect El gusano escribe todas las contraseñas de la red en caché a% WINDOWS% BinLaden.ini. El gusano contiene el siguiente texto: Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, todas las personas en #vxers Y por supuesto, Osama Bin Laden. ¡Mantenga el buen trabajo con Antrhax, hombre! irc.undernet.org \| #vxers www.nbk.hpg.com.br www.coderz.net/mtxvx Codificado por NBK [MATRiX] Cada brasileño HATES USA … Intenta sacar a Amazon DE NOSOTROS
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Toil

Detalles técnicos