Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Email-Worm
Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados en la web.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Este es un gusano de virus que se propaga a través de Internet adjunto al correo electrónico infectado e infecta aplicaciones de Win32 en computadoras locales y recursos de red. Utiliza la biblioteca {"Win32.InvictusDLL": Win32_InvictusDLL} para infectar archivos.
La estructura de los archivos infectados aparece de la siguiente manera:
� ===================== � � infectado � � host del archivo � � � � -------------------- �� ��polimórfico �� �� INVICTO �� �� �� � + ------------------- + � ��body INVICTUS.DLL �� � + ------------------- + � ��un cuerpo de gusano �� �L -------------------- � L ===================== -
Cuando se inicia un archivo infectado, el flujo de control pasa al código polimórfico de la biblioteca INVICTUS; esto se hace de forma inmediata, si el punto de entrada del programa apunta directamente al código del virus, o según la estructura del host, si "Obscurecimiento del punto de entrada" " se utilizó. Este código descifra y crea, en un disco, la biblioteca INVICTUS.DLL en una carpeta% SYSTEM%, y el código del gusano en una carpeta% TEMP% con un nombre de archivo aleatorio, y luego inicia el gusano.
El archivo del gusano es una aplicación de Windows (archivo PE EXE) de aproximadamente 8 Kb de longitud y está escrito en ensamblador.
Instalación
Cuando se inicia el gusano, se instala en el sistema y luego activa su rutina de enviar mensajes de correo electrónico e infectar archivos Win32 y la rutina de carga.
Durante la instalación, el gusano se copia en un directorio de Windows con un nombre de archivo aleatorio y escribe los siguientes valores en SYSTEM.INI:[boot] shell = Explorer.exe% worm name% Esto se hace para que el gusano no se ejecute al inicio de Windows (solo en Windows 9x / ME).
Extensión
El gusano utiliza un motor de búsqueda de "páginas blancas ICQ" para buscar direcciones de correo electrónico. Envía una consulta de búsqueda al motor y luego extrae las direcciones de correo electrónico de los resultados de la búsqueda (desde una página HTML que contiene resultados de búsqueda). Las palabras para la consulta de búsqueda se eligen de la siguiente lista:
MPB
sexo
historia
mp3
amigos
avión
Ferrari
orgasmo
amistad
Mierda
amor
Deportes
fiesta
coño
Estados Unidos
audio
El gusano envía mensajes infectados a todos los correos electrónicos encontrados. El gusano usa una conexión directa a un servidor SMTP, que es seleccionado por el gusano.
Los mensajes infectados contienen un cuerpo vacío y su tema se selecciona de la siguiente lista:
¡Bin Laden toillete paper!
Sadam Hussein y BinLaden EN AMOR
Bush se folla a Bin Laden apenas <: P
¿Osama Bin Laden es MALO?
¿Estados Unidos contra la Convención de Ginebra?
El correo de Anthrax es verdadero (no es una broma)
Armas biológicas: ¡Prevención!
Follando a un mulá en Islamabad
¡Oh, papel higiénico de Bin Laden!
Sadam e BinLaden apaixonados
Bush fudendo Bin Laden <: P
Ser� que o Osama � mal-amado?
EUA agride conven�ao de genova?
Antraz pelo correio (verdade)
Armas biologicas: Previna-se!
Fudendo um mul� em Islamabad
Bin Landen Toalettpapper
Sadam Hussein y BinLaden �rf�r�lsk
ade Bush knullar Bin Laden h�rt <: P
Osar Osama Bin Laden inte �lskad?
USAr USA emot Geneve �verenskom melsen?
Anthrax brevet existerar (det �r inget sk�mt)
Biologiska vapen: F�rhindra!
Knulla en musulmán i Islamabad
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Bush nique � donf Bin Laden <: P
Osama Bin Laden Mal Aim�?
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Arme Biologique: Pr�ventions!
Baiser un mullah � Islamabad
Xarti toualetas Bin Landen !!
Hussein y Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H me presiona Antraka, einai gegonos
Biologika wpla: Prostasia!
Gamontas ena Moula sto Islamabad
Nombre del archivo adjunto : BINLADEN_BRASIL.EXE
El gusano utiliza una infracción de seguridad IFRAME en Microsoft Internet Explorer en sus mensajes, por lo que puede iniciarse automáticamente cuando se está viendo un mensaje infectado.
Infectar archivos en discos locales
El gusano infecta los siguientes archivos en un directorio de Windows:
HH.EXE
NETSTAT.EXE
CALC.EXE
Además, el gusano encuentra todos los programas en el registro de Windows (la mayoría de las aplicaciones lanzadas en la computadora están registradas aquí) y los infecta. Luego, el gusano encuentra una copia iniciada de EXPLORER.EXE, lo cierra e infecta el archivo.
Infección de archivos en recursos de red
El gusano enumera los recursos de red (discos y directorios remotos) y se conecta a ellos. Intenta copiarse a los recursos de red con un nombre de archivo aleatorio en los siguientes directorios:
GANAR
WIN2000
WIN2K
WINNT
WINDOWS
WINXP
y se registra en un sistema remoto para iniciarse automáticamente con Windows (solo Windows 9x / ME).
Rutina de carga útil
Dependiendo del contador aleatorio, el gusano dibuja la siguiente cadena un número aleatorio de veces con un color aleatorio:
ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU DIOS SHIVA TUPA DIOS DEUS
y muestra un cuadro de mensaje:
Luego, el gusano "duerme" durante 10 segundos y desordena el contenido de la pantalla.
Otro
El gusano intenta encontrar y cerrar las siguientes ventanas:
Antiviral Toolkit Pro
Monitor AVP
Norton Antivirus
Alarma de zona
Libertad
Avconsol
McAfee VirusScan
Vshwin32
El gusano crea la siguiente clave de registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBinLaden
y establece sus valores para que permita un acceso completo a la unidad C: desde una red local.
El gusano borra la siguiente clave de registro:
HKLMSystemCurrentControlSetServicesVxDNAVAP
y el siguiente valor de registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect
El gusano escribe todas las contraseñas de la red en caché a% WINDOWS% BinLaden.ini.
El gusano contiene el siguiente texto:
Greetz: Alevirus, Anaktos, Satanicoder, Ultras, Vecna, Z0mbie, todas las personas en #vxers
Y por supuesto, Osama Bin Laden. ¡Mantenga el buen trabajo con Antrhax, hombre!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
Codificado por NBK [MATRiX]
Cada brasileño HATES USA ... Intenta sacar a Amazon DE NOSOTROSLeer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com
¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!