Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este gusano utiliza el sistema de mensajería instantánea ICQ para propagarse a través de Internet.

El gusano envía a los usuarios de ICQ un mensaje con una URL, que está vinculada a un archivo que contiene procedimientos para descargar y ejecutar automáticamente el componente malicioso del gusano en la computadora de la víctima.

Propagación

Al conectarse al sitio

 http://www.jokeworld.xxx/xxx.html

(x aquí se usa para reemplazar ciertos caracteres) se usa CHM-exploit-a. El resultado de esto es que un archivo CHM especialmente construido se ejecuta automáticamente en la computadora de la víctima. Este archivo contiene otro archivo llamado 'iefucker.html'; este archivo contiene TrojanDropper, un tipo de troyano escrito en el lenguaje de script. Este troyano extrae un archivo llamado WinUpdate.exe de sí mismo a un rango de directorios del sistema.

En Windows 2000 y Windows XP:

 C: Documentos y configuracionesTodos los usuarios Menú de inicioProgramasStartupWinUpdate.exe

y en Windows 98:

 c: windowsStart MenuProgramsStartupWinUpdate.exe

WinUpdate.exe es un programa troyano del grupo TrojanDownloader, que descarga el componente principal del gusano desde un sitio remoto y lo escribe en el directorio temporal bajo el nombre aptgetupd.exe.

Componente principal

Aptgetupd.exe es un archivo PE.EXE, de aproximadamente 84 KB (86528 bytes) de tamaño, empaquetado con PECompact.

Una vez ejecutado, el gusano se copia a sí mismo con el nombre sysmon.exe en el subdirectorio SYSMON del directorio del sistema de Windows y lo registra en la clave de ejecución automática del registro del sistema:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "sysmon" =% system% sysmonsysmon.exe

El gusano tiene una función de robo que le permite robar información relacionada con una gama de servicios financieros:

 Acceso a Banca por Internet
Accueil Bred.fr> Espace Bred.fr
American Express UK - Finanzas personales
Banamex.com
banco
Banque
Banque en ligne
Servicios comerciales de Barclaycard
Collegamento a Scrigno
Oficina Electrónica Comercial Iniciar sesión
Credit Lyonnais interacti
CyberMUT
E * TRADE Iniciar sesión
Acceso a la cuenta e-gold
Página de inicio Banca Intesa
LloydsTSB en línea - Bienvenido
Administración mercantil
Página de inicio 
Área de usuario segura
SUNCORP METWAY
Tous les produits et services
Gerente de socio de VeriSign
Servicio VeriSign Personal Trust
Wells Fargo - Página de inicio para pequeñas empresas

También roba datos transmitidos por HTTPS, relacionados con cuentas de una variedad de servicios de correo como Yahoo, etc.

Toda la información robada se guarda en los archivos ~ pass.log, ~ key.log y ~ post.log y se envía por FTP a un servidor remoto: www.ustrading.info

El gusano extrae varios archivos .dll de sí mismo y los instala en el directorio del sistema de Windows:

 java32.dll
javaext.dll
icq_socket.dll (biblioteca utilizada para enviar mensajes a través de ICQ)
ICQ2003Decrypt.dll (biblioteca ICQ)

El gusano obtiene acceso a la lista de contactos de ICQ, desconecta el cliente ICQ que se ha iniciado, se conecta al servidor con el nombre del usuario de la máquina infectada y envía a todos los contactos un enlace a su propio sitio.

Otro

Además del exploit CHM, cuando se abre el enlace, se intenta descargar y ejecutar un archivo Java, que contiene un rango de TrojanDownloaders (detectado como Trojan.Java.ClassLoader y TrojanDownloader.Java.OpenConnection ) que también intentan para descargar los componentes del gusano a la computadora de la víctima.

Enlace al original

Clase	Net-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este gusano utiliza el sistema de mensajería instantánea ICQ para propagarse a través de Internet. El gusano envía a los usuarios de ICQ un mensaje con una URL, que está vinculada a un archivo que contiene procedimientos para descargar y ejecutar automáticamente el componente malicioso del gusano en la computadora de la víctima. Propagación Al conectarse al sitio http://www.jokeworld.xxx/xxx.html (x aquí se usa para reemplazar ciertos caracteres) se usa CHM-exploit-a. El resultado de esto es que un archivo CHM especialmente construido se ejecuta automáticamente en la computadora de la víctima. Este archivo contiene otro archivo llamado 'iefucker.html'; este archivo contiene TrojanDropper, un tipo de troyano escrito en el lenguaje de script. Este troyano extrae un archivo llamado WinUpdate.exe de sí mismo a un rango de directorios del sistema. En Windows 2000 y Windows XP: C: Documentos y configuracionesTodos los usuarios Menú de inicioProgramasStartupWinUpdate.exe y en Windows 98: c: windowsStart MenuProgramsStartupWinUpdate.exe WinUpdate.exe es un programa troyano del grupo TrojanDownloader, que descarga el componente principal del gusano desde un sitio remoto y lo escribe en el directorio temporal bajo el nombre aptgetupd.exe. Componente principal Aptgetupd.exe es un archivo PE.EXE, de aproximadamente 84 KB (86528 bytes) de tamaño, empaquetado con PECompact. Una vez ejecutado, el gusano se copia a sí mismo con el nombre sysmon.exe en el subdirectorio SYSMON del directorio del sistema de Windows y lo registra en la clave de ejecución automática del registro del sistema: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "sysmon" =% system% sysmonsysmon.exe El gusano tiene una función de robo que le permite robar información relacionada con una gama de servicios financieros: Acceso a Banca por Internet Accueil Bred.fr> Espace Bred.fr American Express UK - Finanzas personales Banamex.com banco Banque Banque en ligne Servicios comerciales de Barclaycard Collegamento a Scrigno Oficina Electrónica Comercial Iniciar sesión Credit Lyonnais interacti CyberMUT E * TRADE Iniciar sesión Acceso a la cuenta e-gold Página de inicio Banca Intesa LloydsTSB en línea - Bienvenido Administración mercantil Página de inicio Área de usuario segura SUNCORP METWAY Tous les produits et services Gerente de socio de VeriSign Servicio VeriSign Personal Trust Wells Fargo - Página de inicio para pequeñas empresas También roba datos transmitidos por HTTPS, relacionados con cuentas de una variedad de servicios de correo como Yahoo, etc. Toda la información robada se guarda en los archivos ~ pass.log, ~ key.log y ~ post.log y se envía por FTP a un servidor remoto: www.ustrading.info El gusano extrae varios archivos .dll de sí mismo y los instala en el directorio del sistema de Windows: java32.dll javaext.dll icq_socket.dll (biblioteca utilizada para enviar mensajes a través de ICQ) ICQ2003Decrypt.dll (biblioteca ICQ) El gusano obtiene acceso a la lista de contactos de ICQ, desconecta el cliente ICQ que se ha iniciado, se conecta al servidor con el nombre del usuario de la máquina infectada y envía a todos los contactos un enlace a su propio sitio. Otro Además del exploit CHM, cuando se abre el enlace, se intenta descargar y ejecutar un archivo Java, que contiene un rango de TrojanDownloaders (detectado como Trojan.Java.ClassLoader y TrojanDownloader.Java.OpenConnection ) que también intentan para descargar los componentes del gusano a la computadora de la víctima.
	Enlace al original

Net-Worm.Win32.Bizex

Detalles técnicos

Propagación

Componente principal

Otro