Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es el virus del gusano que se propaga a través de Internet y se adjunta a los correos electrónicos infectados. El gusano fue encontrado en estado salvaje en Corea a fines de noviembre de 2002.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 91 Kb de longitud escrito en Microsoft Visual C ++. La mayoría de las cadenas de texto en el cuerpo del gusano están encriptadas.

Instalación

Al instalar el gusano se copia en el directorio del sistema de Windows con el nombre seleccionado al azar:

GANAR% rnd% .PIF

donde% rnd% es un número aleatorio y registra ese archivo en la clave de ejecución automática del registro del sistema:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Hay dos valores escritos en todas esas claves:

.default =% nombre de archivo de gusano%
% nombre de gusano% =% nombre de archivo de gusano%

donde% nombre de gusano% es nombre de archivo de gusano sin extensiones,% nombre de archivo de gusano% es el nombre de archivo completo, por ejemplo:

.default = "C: TEMP WIND2C2.pif"
"WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif"

Parece que el duplicado ".default" se escribe en la clave de registro debido a un error en el código del gusano.

Más tarde, el gusano también se copia con el nombre EXPLORER.PIF en el escritorio.

Extensión

Para recibir los correos electrónicos de las víctimas, el gusano busca los archivos * .HTM y * .DBX y extrae las direcciones de correo electrónico de allí, excepto los correos electrónicos que tienen "@microsoft". parte en la dirección de correo electrónico. Para enviar mensajes infectados, el gusano usa una conexión directa al servidor SMTP predeterminado.

Mientras se envía el gusano agrega a su copia la siguiente información:

– ID de región de país (por ejemplo: [KOR], [RUS] – para Corea y Rusia)
– fecha y hora actual
– nombre de usuario y nombre de la empresa (tal como está almacenado en la información de registro)

Al usar estos datos, es posible rastrear un proceso particular de "migración" de gusanos.

Los mensajes infectados tienen datos diferentes en los campos de correo electrónico. Debajo del% RegisteredOwner% y% RegisteredOrganization%

El sujeto es aleatorio (dependiendo de la "generación" del gusano) seleccionado de las variantes:

Re: AVAR (Asociación de Anti-Virus Asia Investigadores)
N'4% RegisteredOrganization%
N'4 Trand Microsoft Inc.

La última (tercera) variante se selecciona en caso de que no haya una clave "RegistreredOrganization" en el registro del sistema. La combinación "N`4" no se descifra "Re:", parece que el autor del gusano simplemente olvidó descifrar esa cadena en la rutina correspondiente.

El cuerpo del mensaje también se selecciona dependiendo de la generación del gusano:

% RegisteredOwner% -% RegisteredOrganization%

o:

AVAR (Asociación de investigadores de antivirus de Asia) – Informe.
Invariablemente, el Programa Anti-Virus es muy tonto.

Los nombres de archivos adjuntos pueden ser diferentes, por ejemplo:

MUSIC_1.HTM, MUSIC_2.CEO
WIN40B1.TXT, WIN40B1.GIF

Donde los nombres "WIN" tienen un número aleatorio al final (en este caso, "40B1"). Al mismo tiempo, dependiendo del cliente de correo electrónico, la apariencia de estos archivos adjuntos en el mensaje infectado puede ser diferente.

Para ejecutar desde un mensaje infectado, el gusano usa dos violaciones de seguridad:

Componente ActiveX de Microsoft VM
El encabezado MIME incorrecto puede hacer que IE ejecute un archivo adjunto de correo electrónico

Carga útil

El gusano busca programas antivirus, firewalls y depuradores e intenta terminarlos, así como matar sus archivos. En algunos casos (¿en todos los casos?) Si se encuentra un antivirus, el gusano borra todos los archivos en todas las unidades, probablemente debido a un error en su código.

El gusano cae al archivo "WIN% Rnd% .TMP" del directorio del sistema de Windows, escribe el virus "Win32.Funlove" allí y ejecuta este archivo. Por lo tanto, el gusano infecta la máquina con el virus "Win32.Funlove".

El gusano muestra el mensaje:

Hacer el ridículo
¡Qué cosa más tonta has hecho!

En un bucle sin fin, el gusano abre el sitio web http://www.symantec.com (parece que el gusano intenta ejecutar un ataque DoS en ese servidor).

El gusano también tiene las siguientes cadenas de texto cifradas:

~~ Drone Of StarCraft ~~
http://www.sex.com/

Enlace al original

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es el virus del gusano que se propaga a través de Internet y se adjunta a los correos electrónicos infectados. El gusano fue encontrado en estado salvaje en Corea a fines de noviembre de 2002. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 91 Kb de longitud escrito en Microsoft Visual C ++. La mayoría de las cadenas de texto en el cuerpo del gusano están encriptadas. Instalación Al instalar el gusano se copia en el directorio del sistema de Windows con el nombre seleccionado al azar: GANAR% rnd% .PIF donde% rnd% es un número aleatorio y registra ese archivo en la clave de ejecución automática del registro del sistema: HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Hay dos valores escritos en todas esas claves: .default =% nombre de archivo de gusano% % nombre de gusano% =% nombre de archivo de gusano% donde% nombre de gusano% es nombre de archivo de gusano sin extensiones,% nombre de archivo de gusano% es el nombre de archivo completo, por ejemplo: .default = "C: TEMP WIND2C2.pif" "WINA2B3" = "C: WINDOWS SYSTEM WINA2B3.pif" Parece que el duplicado ".default" se escribe en la clave de registro debido a un error en el código del gusano. Más tarde, el gusano también se copia con el nombre EXPLORER.PIF en el escritorio. Extensión Para recibir los correos electrónicos de las víctimas, el gusano busca los archivos * .HTM y * .DBX y extrae las direcciones de correo electrónico de allí, excepto los correos electrónicos que tienen "@microsoft". parte en la dirección de correo electrónico. Para enviar mensajes infectados, el gusano usa una conexión directa al servidor SMTP predeterminado. Mientras se envía el gusano agrega a su copia la siguiente información: – ID de región de país (por ejemplo: [KOR], [RUS] – para Corea y Rusia) – fecha y hora actual – nombre de usuario y nombre de la empresa (tal como está almacenado en la información de registro) Al usar estos datos, es posible rastrear un proceso particular de "migración" de gusanos. Los mensajes infectados tienen datos diferentes en los campos de correo electrónico. Debajo del% RegisteredOwner% y% RegisteredOrganization% El sujeto es aleatorio (dependiendo de la "generación" del gusano) seleccionado de las variantes: Re: AVAR (Asociación de Anti-Virus Asia Investigadores) N'4% RegisteredOrganization% N'4 Trand Microsoft Inc. La última (tercera) variante se selecciona en caso de que no haya una clave "RegistreredOrganization" en el registro del sistema. La combinación "N`4" no se descifra "Re:", parece que el autor del gusano simplemente olvidó descifrar esa cadena en la rutina correspondiente. El cuerpo del mensaje también se selecciona dependiendo de la generación del gusano: % RegisteredOwner% -% RegisteredOrganization% o: AVAR (Asociación de investigadores de antivirus de Asia) – Informe. Invariablemente, el Programa Anti-Virus es muy tonto. Los nombres de archivos adjuntos pueden ser diferentes, por ejemplo: MUSIC_1.HTM, MUSIC_2.CEO WIN40B1.TXT, WIN40B1.GIF Donde los nombres "WIN" tienen un número aleatorio al final (en este caso, "40B1"). Al mismo tiempo, dependiendo del cliente de correo electrónico, la apariencia de estos archivos adjuntos en el mensaje infectado puede ser diferente. Para ejecutar desde un mensaje infectado, el gusano usa dos violaciones de seguridad: Componente ActiveX de Microsoft VM El encabezado MIME incorrecto puede hacer que IE ejecute un archivo adjunto de correo electrónico Carga útil El gusano busca programas antivirus, firewalls y depuradores e intenta terminarlos, así como matar sus archivos. En algunos casos (¿en todos los casos?) Si se encuentra un antivirus, el gusano borra todos los archivos en todas las unidades, probablemente debido a un error en su código. El gusano cae al archivo "WIN% Rnd% .TMP" del directorio del sistema de Windows, escribe el virus "Win32.Funlove" allí y ejecuta este archivo. Por lo tanto, el gusano infecta la máquina con el virus "Win32.Funlove". El gusano muestra el mensaje: Hacer el ridículo ¡Qué cosa más tonta has hecho! En un bucle sin fin, el gusano abre el sitio web http://www.symantec.com (parece que el gusano intenta ejecutar un ataque DoS en ese servidor). El gusano también tiene las siguientes cadenas de texto cifradas: ~~ Drone Of StarCraft ~~ http://www.sex.com/
	Enlace al original

Email-Worm.Win32.Winevar

Detalles técnicos

Instalación

Extensión

Carga útil