ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Xanax

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de Internet que se encontró en estado salvaje a mediados de marzo de 2001. El gusano se propaga por correo electrónico al enviar mensajes infectados de las computadoras afectadas a través de canales de IRC enviando allí su copia. El gusano también infecta archivos EXE en el directorio de Windows.

El gusano en sí es una aplicación Win32 (archivo PE EXE) escrita en lenguaje Microsoft Visual C ++. El tamaño del gusano es de aproximadamente 60K de longitud, pero se encontró en forma comprimida: el código del gusano fue comprimido por la utilidad ASPack, que posee aproximadamente 34K de longitud.

Cuando se inicia el gusano, se copia en el directorio del sistema de Windows con dos nombres: XANAX.EXE y XANSTART.EXE. El archivo XANSTART.EXE se registra en la clave de ejecución automática del Registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Predeterminado =% winsystem% xanstart.exe

donde% winsystem% es el nombre del directorio de sistema de Windows. Como resultado, el gusano se ejecuta cada vez que Windows se inicia.

Correo electrónico infectado

El gusano inicia su rutina de propagación de correo electrónico. Para hacer esto, el gusano crea un archivo temporal XANAX.VBS (secuencia de comandos de Visual Basic), escribe un programa VBS allí y lo inicia con la ayuda de WSCRIPT.EXE. El programa VBS obtiene acceso a la libreta de direcciones de Outlook y envía mensajes a las primeras 1,000 direcciones de cada una de las listas de direcciones

Asunto: ¿Estresado? Prueba Xanax!
Cuerpo:

¡Hola! ¿Estás tan estresado que te pone enfermo? ¡No estas solo!
Muchas personas sufren de estrés, en estos días. Tal vez encuentres Prozac también
¿fuerte? Entonces NECESITA probar Xanax, es más suave. ¿Todavía no está convencido?
Verifique los detalles médicos en el archivo adjunto. Xanax podría cambiar
¡su vida!

Archivos adjuntos: xanax.exe

Infectar archivos EXE

El gusano busca los archivos EXE en el directorio de Windows y los infecta. Al infectar, el gusano mueve un cuerpo de archivo víctima y se escribe al principio del archivo. El gusano no infecta archivos con nombres que comienzan con E, P, R, S, T, W.

Canales de IRC

Luego, el gusano infecta al cliente mIRC si está instalado. El gusano busca el cliente mIRC en los siguientes directorios:

mirc
Program Filesmirc

en las unidades C :, D :, E: y F :. Si el cliente mIRC existe, el gusano sobrescribe el archivo de script SCRIPT.INI mIRC con un programa que envía la copia del gusano a todos los que se unen al canal infectado.

Otros comentarios

Cuando el gusano se ejecuta desde un archivo con nombre con la letra "R" como el penúltimo en un nombre de archivo (xxxRx.EXE), muestra el siguiente mensaje:

Xanax 8-Chloro-1-methyl-6-phenyl-4H-s-triazolo (4,3-alpha) (1,4) benzodiazepine

El nombre exacto como este contiene el archivo del gusano XANSTART.EXE que está registrado en la clave de ejecución automática del Registro del sistema. Entonces, el gusano muestra este mensaje en cada inicio de Windows.

El gusano también crea más archivos en el sistema:

  • Directorio de sistema de Windows: HOSTFILE.EXE
  • Directorio de Windows: WINSTART.BAT, XANAX.SYS
  • HOSTFILE.EXE permanece después de ejecutar un archivo de host infectado, y este archivo contiene un cuerpo puro (no infectado) del último archivo infectado ejecutado.

    El archivo XANAX.SYS contiene el texto:

    Win32.HLLP.Xanax (c) 2001 Gigabyte

    El archivo WINSTART.BAT contiene comandos que muestran el mensaje:

    No tome este medicamento con etanol, Buspar (buspirona), antidepresivos TCA, narcóticos u otros depresores del SNC. Esta combinación puede aumentar la depresión del SNC. Asegúrese de no tomar otros sedantes, benzodiazepinas o pastillas para dormir con este medicamento. Las combinaciones podrían ser fatales. No fume ni beba alcohol cuando tome Xanax. El alcohol puede disminuir la presión arterial y disminuir la frecuencia respiratoria hasta el punto de pérdida del conocimiento. Fumar tabaco y marihuana puede aumentar los efectos sedantes de Xanax.


    Enlace al original