ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Kolab

Fecha de detección 04/13/2011
Clase Net-Worm
Plataforma Win32
Descripción

La carga útil completa del gusano se ejecuta a través de un código que se inyecta en el espacio de direcciones del proceso "EXPLORER.EXE". La carga útil no se ejecuta si se cumple alguna de las siguientes condiciones:

  • La siguiente rama falta en el registro del sistema:
     [HKCUControl PanelPowerCfgPowerPolicies] 
  • El nombre de la cuenta del usuario actual es:
     USERNAMEusuarioNOMBRE DE LA COMPUTADORAUsuario actual
  • Las siguientes bibliotecas se cargan en el espacio de direcciones del gusano:
     SbieDll.dlldbghelp.dllapi_log.dlldir_watch.dllpstorec.dll
  • El archivo original del gusano se guardó en el sistema como:
    c: file.exe 

    Después de inyectar el código malicioso a través del proceso "EXPLORER.EXE", se realizan las siguientes acciones:

  • Para garantizar que el proceso sea único dentro del sistema, se crea un identificador único, que se denomina:
  • Para proporcionar acceso al sistema infectado, se crea el siguiente conducto con nombre:
     .piperrreokdirjiurururr 
  • Se establece una conexión con el servidor del usuario malintencionado:
    di *** ind.cnhormiga *** tition.comfre *** unge.com

    Siguiendo un comando del usuario malintencionado, el gusano puede realizar las siguientes acciones en la computadora infectada:

    • Organice un ataque DoS en servidores específicos.
    • Descargue archivos de los enlaces que se le envían. Los archivos descargados se guardan en el directorio de archivos temporales del usuario actual "% Temp%" utilizando nombres aleatorios.
    • Descargue la versión actualizada del gusano del servidor del usuario malintencionado.
    • Analizar archivos de configuraciones para estos navegadores:
      Mozilla Firefoxexplorador de InternetGoogle ChromeÓpera

      con el propósito de robar contraseñas guardadas en ellos.

    • Robar y modificar las cookies del navegador. Para hacer esto, el gusano usa el módulo "sqlite" integrado en el navegador Mozilla Firefox.
    • Las acciones descritas en las secciones "Instalación" y "Propagación". El gusano realiza intercambios con el servidor del usuario malintencionado a través de mensajes del siguiente tipo:
      Escaneo detenidoScan runningEscaneo comenzadoDatos de KB enviados: <número>Paquetes SYN enviados: <número>Inundacióninundación detenida: <cadena>inundación: <cadena>Unidad infectada: <cadena>Esparcidor USB funcionandoP2P Copiar a: <cadena>MSN spreader funcionandoMSN spread started, link: <string> Se envió un enlace MSN
    • Por orden del usuario malicioso, también es posible sustituir el archivo "hosts":
       % System% driversetchosts 

      En el momento de escribir esto, el servidor del usuario malicioso no respondía.


Enlace al original
Descubra las estadísticas de las amenazas que se propagan en su región