ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Kolab

Fecha de detección 04/13/2011
Clase Net-Worm
Plataforma Win32
Descripción

La carga útil completa del gusano se ejecuta a través de un código que se inyecta en el espacio de direcciones del proceso "EXPLORER.EXE". La carga útil no se ejecuta si se cumple alguna de las siguientes condiciones:

  • La siguiente rama falta en el registro del sistema:
     [HKCUControl PanelPowerCfgPowerPolicies] 
  • El nombre de la cuenta del usuario actual es:
     USERNAME
    
    
    
    usuario
    
    
    
    NOMBRE DE LA COMPUTADORA
    
    
    
    Usuario actual
    
    
    
    
  • Las siguientes bibliotecas se cargan en el espacio de direcciones del gusano:
     SbieDll.dll
    
    
    
    dbghelp.dll
    
    
    
    api_log.dll
    
    
    
    dir_watch.dll
    
    
    
    pstorec.dll
    
    
    
    
  • El archivo original del gusano se guardó en el sistema como:
    
    
    
    c: file.exe 

    Después de inyectar el código malicioso a través del proceso "EXPLORER.EXE", se realizan las siguientes acciones:

  • Para garantizar que el proceso sea único dentro del sistema, se crea un identificador único, que se denomina:
  • Para proporcionar acceso al sistema infectado, se crea el siguiente conducto con nombre:
     .piperrreokdirjiurururr 
  • Se establece una conexión con el servidor del usuario malintencionado:
    
    
    
    di *** ind.cn
    
    
    
    hormiga *** tition.com
    
    
    
    fre *** unge.com
    
    
    
    

    Siguiendo un comando del usuario malintencionado, el gusano puede realizar las siguientes acciones en la computadora infectada:

    • Organice un ataque DoS en servidores específicos.
    • Descargue archivos de los enlaces que se le envían. Los archivos descargados se guardan en el directorio de archivos temporales del usuario actual "% Temp%" utilizando nombres aleatorios.
    • Descargue la versión actualizada del gusano del servidor del usuario malintencionado.
    • Analizar archivos de configuraciones para estos navegadores:
      
      
      
      Mozilla Firefox
      
      
      
      explorador de Internet
      
      
      
      Google Chrome
      
      
      
      Ópera
      
      
      
      

      con el propósito de robar contraseñas guardadas en ellos.

    • Robar y modificar las cookies del navegador. Para hacer esto, el gusano usa el módulo "sqlite" integrado en el navegador Mozilla Firefox.
    • Las acciones descritas en las secciones "Instalación" y "Propagación". El gusano realiza intercambios con el servidor del usuario malintencionado a través de mensajes del siguiente tipo:
      
      
      
      Escaneo detenido
      
      
      
      Scan running
      
      
      
      Escaneo comenzado
      
      
      
      Datos de KB enviados: <número>
      
      
      
      Paquetes SYN enviados: <número>
      
      
      
      Inundación
      
      
      
      inundación detenida: <cadena>
      
      
      
      inundación: <cadena>
      
      
      
      Unidad infectada: <cadena>
      
      
      
      Esparcidor USB funcionando
      
      
      
      P2P Copiar a: <cadena>
      
      
      
      MSN spreader funcionando
      
      
      
      MSN spread started, link: <string> Se envió un enlace MSN
      
      
      
      
    • Por orden del usuario malicioso, también es posible sustituir el archivo "hosts":
       % System% driversetchosts 

      En el momento de escribir esto, el servidor del usuario malicioso no respondía.


Enlace al original