Kaspersky Threats

Fecha de detección

06/26/2009

Clase

Plataforma

Descripción

Para simular la legitimidad, el archivo del gusano contiene información ficticia sobre el archivo:

El gusano localiza un proceso correspondiente a una ventana con la clase "Progman" (así es como el malware encuentra el proceso "explorer.exe") e inyecta su código en este proceso, luego deja de ejecutarse.

El código malicioso inyectado en este proceso está instalado y realiza la funcionalidad de puerta trasera. Para hacer esto, se conecta a los hosts remotos:




prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84. ***. 194



dz *** tarts.com

Siguiendo un comando del usuario malicioso, el gusano puede realizar las siguientes acciones:

Descargue archivos a la computadora infectada y ejecútelos para su ejecución. Los archivos descargados se guardan en la carpeta temporal del usuario con nombres aleatorios:
```
 % Temp% <rnd> .exe 
```
donde <rnd> es un número aleatorio.

Puede guardar los archivos descargados bajo los nombres "Crack.exe" y "Keygen.exe" en los directorios compartidos de archivos de red P2P ubicados en la máquina local. También puede guardarlos en el siguiente directorio:
```
% ALLUSERSPROFILE% Configuración localApplication DataAresMy Carpeta compartida 
```
Obtiene los nombres de los directorios de intercambio de archivos de red P2P mediante el análisis de los parámetros de estas claves de registro del sistema:
```
[HKCUSoftwareBearShareGeneral]



[HKCUSoftwareiMeshGeneral]



[HKCUSoftwareShareazaShareazaDownloads]



[HKCUSoftwareKazaaLocalContent]



[HKCUSoftwareDC ++]



[HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
```
Cambiar el contenido del archivo "hosts":
```
% System% etchosts 
```
Esto significa que puede bloquear el acceso a los recursos de Internet visitados por el usuario o redirigir al usuario a otros recursos.
Llevar a cabo un ataque DoS en un servidor especificado por el usuario malintencionado.
Copie el cuerpo del gusano a toda la red accesible a escritura y unidades extraíbles. También coloca el archivo adjunto que se muestra a continuación en la raíz de cada disco:
```
 <X>: autorun.inf 
```
donde <X> es la letra de la unidad de red o disco extraíble. Al mismo tiempo, asigna atributos "ocultos" y de "sistema" a las copias del gusano.

Este archivo inicia el archivo ejecutable desde la copia del gusano cada vez que el usuario accede al disco infectado usando Explorer.
Envíe los nombres de los recursos de Internet y sus contraseñas a la dirección del usuario malintencionado cuando el usuario utilice los siguientes navegadores:
```
Mozilla Firefox



explorador de Internet



Ópera
```

En el momento de escribir este artículo, el gusano descargó su versión actualizada de la siguiente URL y luego la lanzó para su ejecución:

 http: //188.***.27/jebacina/418.exe

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Fecha de detección	06/26/2009
Clase	P2P-Worm
Plataforma	Win32
Descripción	Para simular la legitimidad, el archivo del gusano contiene información ficticia sobre el archivo: El gusano localiza un proceso correspondiente a una ventana con la clase "Progman" (así es como el malware encuentra el proceso "explorer.exe") e inyecta su código en este proceso, luego deja de ejecutarse. El código malicioso inyectado en este proceso está instalado y realiza la funcionalidad de puerta trasera. Para hacer esto, se conecta a los hosts remotos: prcoli * nica.com krete * epotice.ru somb * osting.net 84. . 194 dz tarts.com Siguiendo un comando del usuario malicioso, el gusano puede realizar las siguientes acciones: Descargue archivos a la computadora infectada y ejecútelos para su ejecución. Los archivos descargados se guardan en la carpeta temporal del usuario con nombres aleatorios: % Temp% <rnd> .exe donde <rnd> es un número aleatorio. Puede guardar los archivos descargados bajo los nombres "Crack.exe" y "Keygen.exe" en los directorios compartidos de archivos de red P2P ubicados en la máquina local. También puede guardarlos en el siguiente directorio: % ALLUSERSPROFILE% Configuración localApplication DataAresMy Carpeta compartida Obtiene los nombres de los directorios de intercambio de archivos de red P2P mediante el análisis de los parámetros de estas claves de registro del sistema: [HKCUSoftwareBearShareGeneral] [HKCUSoftwareiMeshGeneral] [HKCUSoftwareShareazaShareazaDownloads] [HKCUSoftwareKazaaLocalContent] [HKCUSoftwareDC ++] [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1] Cambiar el contenido del archivo "hosts": % System% etchosts Esto significa que puede bloquear el acceso a los recursos de Internet visitados por el usuario o redirigir al usuario a otros recursos. Llevar a cabo un ataque DoS en un servidor especificado por el usuario malintencionado. Copie el cuerpo del gusano a toda la red accesible a escritura y unidades extraíbles. También coloca el archivo adjunto que se muestra a continuación en la raíz de cada disco: <X>: autorun.inf donde <X> es la letra de la unidad de red o disco extraíble. Al mismo tiempo, asigna atributos "ocultos" y de "sistema" a las copias del gusano. Este archivo inicia el archivo ejecutable desde la copia del gusano cada vez que el usuario accede al disco infectado usando Explorer. Envíe los nombres de los recursos de Internet y sus contraseñas a la dirección del usuario malintencionado cuando el usuario utilice los siguientes navegadores: Mozilla Firefox explorador de Internet Ópera En el momento de escribir este artículo, el gusano descargó su versión actualizada de la siguiente URL y luego la lanzó para su ejecución: http: //188.*.27/jebacina/418.exe
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

P2P-Worm.Win32.Palevo