ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Email-Worm |
Plataforma | Win32 |
Descripción |
Detalles técnicosEste es el virus del gusano que se propaga a través de Internet y se adjunta a los correos electrónicos infectados. El gusano fue encontrado en estado salvaje en Corea a fines de noviembre de 2002. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 91 Kb de longitud escrito en Microsoft Visual C ++. La mayoría de las cadenas de texto en el cuerpo del gusano están encriptadas. InstalaciónAl instalar el gusano se copia en el directorio del sistema de Windows con el nombre seleccionado al azar:
donde% rnd% es un número aleatorio y registra ese archivo en la clave de ejecución automática del registro del sistema:
Hay dos valores escritos en todas esas claves:
donde% nombre de gusano% es nombre de archivo de gusano sin extensiones,% nombre de archivo de gusano% es el nombre de archivo completo, por ejemplo:
Parece que el duplicado ".default" se escribe en la clave de registro debido a un error en el código del gusano. Más tarde, el gusano también se copia con el nombre EXPLORER.PIF en el escritorio. ExtensiónPara recibir los correos electrónicos de las víctimas, el gusano busca los archivos * .HTM y * .DBX y extrae las direcciones de correo electrónico de allí, excepto los correos electrónicos que tienen "@microsoft". parte en la dirección de correo electrónico. Para enviar mensajes infectados, el gusano usa una conexión directa al servidor SMTP predeterminado. Mientras se envía el gusano agrega a su copia la siguiente información:
Al usar estos datos, es posible rastrear un proceso particular de "migración" de gusanos. Los mensajes infectados tienen datos diferentes en los campos de correo electrónico. Debajo del% RegisteredOwner% y% RegisteredOrganization% El sujeto es aleatorio (dependiendo de la "generación" del gusano) seleccionado de las variantes:
La última (tercera) variante se selecciona en caso de que no haya una clave "RegistreredOrganization" en el registro del sistema. La combinación "N`4" no se descifra "Re:", parece que el autor del gusano simplemente olvidó descifrar esa cadena en la rutina correspondiente. El cuerpo del mensaje también se selecciona dependiendo de la generación del gusano:
o:
Los nombres de archivos adjuntos pueden ser diferentes, por ejemplo:
Donde los nombres "WIN" tienen un número aleatorio al final (en este caso, "40B1"). Al mismo tiempo, dependiendo del cliente de correo electrónico, la apariencia de estos archivos adjuntos en el mensaje infectado puede ser diferente. Para ejecutar desde un mensaje infectado, el gusano usa dos violaciones de seguridad:
Carga útilEl gusano busca programas antivirus, firewalls y depuradores e intenta terminarlos, así como matar sus archivos. En algunos casos (¿en todos los casos?) Si se encuentra un antivirus, el gusano borra todos los archivos en todas las unidades, probablemente debido a un error en su código. El gusano cae al archivo "WIN% Rnd% .TMP" del directorio del sistema de Windows, escribe el virus "Win32.Funlove" allí y ejecuta este archivo. Por lo tanto, el gusano infecta la máquina con el virus "Win32.Funlove". El gusano muestra el mensaje:
En un bucle sin fin, el gusano abre el sitio web http://www.symantec.com (parece que el gusano intenta ejecutar un ataque DoS en ese servidor). El gusano también tiene las siguientes cadenas de texto cifradas:
|
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |