ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Detect date
04/13/2011
Clase
Net-Worm
Plataforma
Win32

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Net-Worm

Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.

Más información

Plataforma: Win32

Win32 es una API en sistemas operativos basados ​​en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.

Descripción

La carga útil completa del gusano se ejecuta a través de un código que se inyecta en el espacio de direcciones del proceso "EXPLORER.EXE". La carga útil no se ejecuta si se cumple alguna de las siguientes condiciones:

  • La siguiente rama falta en el registro del sistema:
     [HKCUControl PanelPowerCfgPowerPolicies] 
  • El nombre de la cuenta del usuario actual es:
     USERNAMEusuarioNOMBRE DE LA COMPUTADORAUsuario actual
  • Las siguientes bibliotecas se cargan en el espacio de direcciones del gusano:
     SbieDll.dlldbghelp.dllapi_log.dlldir_watch.dllpstorec.dll
  • El archivo original del gusano se guardó en el sistema como:
    c: file.exe 
    Después de inyectar el código malicioso a través del proceso "EXPLORER.EXE", se realizan las siguientes acciones:
  • Para garantizar que el proceso sea único dentro del sistema, se crea un identificador único, que se denomina:
  • Para proporcionar acceso al sistema infectado, se crea el siguiente conducto con nombre:
     .piperrreokdirjiurururr 
  • Se establece una conexión con el servidor del usuario malintencionado:
    di *** ind.cnhormiga *** tition.comfre *** unge.com
    Siguiendo un comando del usuario malintencionado, el gusano puede realizar las siguientes acciones en la computadora infectada:
    • Organice un ataque DoS en servidores específicos.
    • Descargue archivos de los enlaces que se le envían. Los archivos descargados se guardan en el directorio de archivos temporales del usuario actual "% Temp%" utilizando nombres aleatorios.
    • Descargue la versión actualizada del gusano del servidor del usuario malintencionado.
    • Analizar archivos de configuraciones para estos navegadores:
      Mozilla Firefoxexplorador de InternetGoogle ChromeÓpera
      con el propósito de robar contraseñas guardadas en ellos.
    • Robar y modificar las cookies del navegador. Para hacer esto, el gusano usa el módulo "sqlite" integrado en el navegador Mozilla Firefox.
    • Las acciones descritas en las secciones "Instalación" y "Propagación". El gusano realiza intercambios con el servidor del usuario malintencionado a través de mensajes del siguiente tipo:
      Escaneo detenidoScan runningEscaneo comenzadoDatos de KB enviados: <número>Paquetes SYN enviados: <número>Inundacióninundación detenida: <cadena>inundación: <cadena>Unidad infectada: <cadena>Esparcidor USB funcionandoP2P Copiar a: <cadena>MSN spreader funcionandoMSN spread started, link: <string> Se envió un enlace MSN
    • Por orden del usuario malicioso, también es posible sustituir el archivo "hosts":
       % System% driversetchosts 
      En el momento de escribir esto, el servidor del usuario malicioso no respondía.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Kaspersky Next:
ciberseguridad redefinida
Leer más
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Confirm changes?
Your message has been sent successfully.