ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase | Net-Worm |
Plataforma | Win32 |
Descripción |
Detalles técnicosEste gusano utiliza el sistema de mensajería instantánea ICQ para propagarse a través de Internet. El gusano envía a los usuarios de ICQ un mensaje con una URL, que está vinculada a un archivo que contiene procedimientos para descargar y ejecutar automáticamente el componente malicioso del gusano en la computadora de la víctima. PropagaciónAl conectarse al sitio http://www.jokeworld.xxx/xxx.html (x aquí se usa para reemplazar ciertos caracteres) se usa CHM-exploit-a. El resultado de esto es que un archivo CHM especialmente construido se ejecuta automáticamente en la computadora de la víctima. Este archivo contiene otro archivo llamado 'iefucker.html'; este archivo contiene TrojanDropper, un tipo de troyano escrito en el lenguaje de script. Este troyano extrae un archivo llamado WinUpdate.exe de sí mismo a un rango de directorios del sistema. En Windows 2000 y Windows XP: C: Documentos y configuracionesTodos los usuarios Menú de inicioProgramasStartupWinUpdate.exe y en Windows 98: c: windowsStart MenuProgramsStartupWinUpdate.exe WinUpdate.exe es un programa troyano del grupo TrojanDownloader, que descarga el componente principal del gusano desde un sitio remoto y lo escribe en el directorio temporal bajo el nombre aptgetupd.exe. Componente principalAptgetupd.exe es un archivo PE.EXE, de aproximadamente 84 KB (86528 bytes) de tamaño, empaquetado con PECompact. Una vez ejecutado, el gusano se copia a sí mismo con el nombre sysmon.exe en el subdirectorio SYSMON del directorio del sistema de Windows y lo registra en la clave de ejecución automática del registro del sistema: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "sysmon" =% system% sysmonsysmon.exe El gusano tiene una función de robo que le permite robar información relacionada con una gama de servicios financieros: Acceso a Banca por Internet Accueil Bred.fr> Espace Bred.fr American Express UK - Finanzas personales Banamex.com banco Banque Banque en ligne Servicios comerciales de Barclaycard Collegamento a Scrigno Oficina Electrónica Comercial Iniciar sesión Credit Lyonnais interacti CyberMUT E * TRADE Iniciar sesión Acceso a la cuenta e-gold Página de inicio Banca Intesa LloydsTSB en línea - Bienvenido Administración mercantil Página de inicio Área de usuario segura SUNCORP METWAY Tous les produits et services Gerente de socio de VeriSign Servicio VeriSign Personal Trust Wells Fargo - Página de inicio para pequeñas empresas También roba datos transmitidos por HTTPS, relacionados con cuentas de una variedad de servicios de correo como Yahoo, etc. Toda la información robada se guarda en los archivos ~ pass.log, ~ key.log y ~ post.log y se envía por FTP a un servidor remoto: www.ustrading.info El gusano extrae varios archivos .dll de sí mismo y los instala en el directorio del sistema de Windows: java32.dll javaext.dll icq_socket.dll (biblioteca utilizada para enviar mensajes a través de ICQ) ICQ2003Decrypt.dll (biblioteca ICQ) El gusano obtiene acceso a la lista de contactos de ICQ, desconecta el cliente ICQ que se ha iniciado, se conecta al servidor con el nombre del usuario de la máquina infectada y envía a todos los contactos un enlace a su propio sitio. OtroAdemás del exploit CHM, cuando se abre el enlace, se intenta descargar y ejecutar un archivo Java, que contiene un rango de TrojanDownloaders (detectado como Trojan.Java.ClassLoader y TrojanDownloader.Java.OpenConnection ) que también intentan para descargar los componentes del gusano a la computadora de la víctima. |
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |