Kaspersky Threats

Fecha de detección

04/13/2011

Clase

Plataforma

Descripción

La carga útil completa del gusano se ejecuta a través de un código que se inyecta en el espacio de direcciones del proceso "EXPLORER.EXE". La carga útil no se ejecuta si se cumple alguna de las siguientes condiciones:

La siguiente rama falta en el registro del sistema:
```
 [HKCUControl PanelPowerCfgPowerPolicies] 
```

El nombre de la cuenta del usuario actual es:

 USERNAMEusuarioNOMBRE DE LA COMPUTADORAUsuario actual

Las siguientes bibliotecas se cargan en el espacio de direcciones del gusano:
```
 SbieDll.dlldbghelp.dllapi_log.dlldir_watch.dllpstorec.dll
```
El archivo original del gusano se guardó en el sistema como:
```
c: file.exe 
```
Después de inyectar el código malicioso a través del proceso "EXPLORER.EXE", se realizan las siguientes acciones:
Para garantizar que el proceso sea único dentro del sistema, se crea un identificador único, que se denomina:
Para proporcionar acceso al sistema infectado, se crea el siguiente conducto con nombre:
```
 .piperrreokdirjiurururr 
```
Se establece una conexión con el servidor del usuario malintencionado:
```
di *** ind.cnhormiga *** tition.comfre *** unge.com
```
Siguiendo un comando del usuario malintencionado, el gusano puede realizar las siguientes acciones en la computadora infectada:
- Organice un ataque DoS en servidores específicos.
- Descargue archivos de los enlaces que se le envían. Los archivos descargados se guardan en el directorio de archivos temporales del usuario actual "% Temp%" utilizando nombres aleatorios.
- Descargue la versión actualizada del gusano del servidor del usuario malintencionado.
- Analizar archivos de configuraciones para estos navegadores:
```
Mozilla Firefoxexplorador de InternetGoogle ChromeÓpera
```
  con el propósito de robar contraseñas guardadas en ellos.
- Robar y modificar las cookies del navegador. Para hacer esto, el gusano usa el módulo "sqlite" integrado en el navegador Mozilla Firefox.
- Las acciones descritas en las secciones "Instalación" y "Propagación". El gusano realiza intercambios con el servidor del usuario malintencionado a través de mensajes del siguiente tipo:
```
Escaneo detenidoScan runningEscaneo comenzadoDatos de KB enviados: <número>Paquetes SYN enviados: <número>Inundacióninundación detenida: <cadena>inundación: <cadena>Unidad infectada: <cadena>Esparcidor USB funcionandoP2P Copiar a: <cadena>MSN spreader funcionandoMSN spread started, link: <string> Se envió un enlace MSN
```
- Por orden del usuario malicioso, también es posible sustituir el archivo "hosts":
```
 % System% driversetchosts 
```
  En el momento de escribir esto, el servidor del usuario malicioso no respondía.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Fecha de detección	04/13/2011
Clase	Net-Worm
Plataforma	Win32
Descripción	La carga útil completa del gusano se ejecuta a través de un código que se inyecta en el espacio de direcciones del proceso "EXPLORER.EXE". La carga útil no se ejecuta si se cumple alguna de las siguientes condiciones: La siguiente rama falta en el registro del sistema: [HKCUControl PanelPowerCfgPowerPolicies] El nombre de la cuenta del usuario actual es: USERNAMEusuarioNOMBRE DE LA COMPUTADORAUsuario actual Las siguientes bibliotecas se cargan en el espacio de direcciones del gusano: SbieDll.dlldbghelp.dllapi_log.dlldir_watch.dllpstorec.dll El archivo original del gusano se guardó en el sistema como: c: file.exe Después de inyectar el código malicioso a través del proceso "EXPLORER.EXE", se realizan las siguientes acciones: Para garantizar que el proceso sea único dentro del sistema, se crea un identificador único, que se denomina: Para proporcionar acceso al sistema infectado, se crea el siguiente conducto con nombre: .piperrreokdirjiurururr Se establece una conexión con el servidor del usuario malintencionado: di * ind.cnhormiga * tition.comfre *** unge.com Siguiendo un comando del usuario malintencionado, el gusano puede realizar las siguientes acciones en la computadora infectada: Organice un ataque DoS en servidores específicos. Descargue archivos de los enlaces que se le envían. Los archivos descargados se guardan en el directorio de archivos temporales del usuario actual "% Temp%" utilizando nombres aleatorios. Descargue la versión actualizada del gusano del servidor del usuario malintencionado. Analizar archivos de configuraciones para estos navegadores: Mozilla Firefoxexplorador de InternetGoogle ChromeÓpera con el propósito de robar contraseñas guardadas en ellos. Robar y modificar las cookies del navegador. Para hacer esto, el gusano usa el módulo "sqlite" integrado en el navegador Mozilla Firefox. Las acciones descritas en las secciones "Instalación" y "Propagación". El gusano realiza intercambios con el servidor del usuario malintencionado a través de mensajes del siguiente tipo: Escaneo detenidoScan runningEscaneo comenzadoDatos de KB enviados: <número>Paquetes SYN enviados: <número>Inundacióninundación detenida: <cadena>inundación: <cadena>Unidad infectada: <cadena>Esparcidor USB funcionandoP2P Copiar a: <cadena>MSN spreader funcionandoMSN spread started, link: <string> Se envió un enlace MSN Por orden del usuario malicioso, también es posible sustituir el archivo "hosts": % System% driversetchosts En el momento de escribir esto, el servidor del usuario malicioso no respondía.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Net-Worm.Win32.Kolab