ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan.Win16.BadSector

Clase Trojan
Plataforma Win16
Descripción

Detalles técnicos

Este troyano se envió a varios grupos de noticias de Internet en agosto de 1998. El troyano en sí es un archivo ejecutable de Windows de 25 Kb (formato NE) escrito en Pascal. Accede a la red y envía mensajes aleatorios a Internet.

Cuando se ejecuta por primera vez, el troyano simplemente se instala en el sistema. Se copia en el directorio del sistema de Windows con el nombre SHELL32.EXE y se registra en el registro del sistema en la sección HKEY_LOCAL_MACHINE:


SOFTWAREMicrosoftWindowsCurrentVersionRun shell32.exe
El troyano luego termina sin efectos secundarios. En el próximo reinicio, el troyano permanece en la memoria de Windows como una tarea oculta, duerme e inicia periódicamente las API de Windows Socket y abre un socket de flujo continuo con protocolo TCP / IP para enviar mensajes.

Los mensajes tienen direcciones, sujetos y datos seleccionados al azar. La dirección "Mail From" se construye al azar a partir de las siguientes partes:

  • prodigy compuserve kurva putka gerry tetra europa amstel usa bulgaria badsector hacker omega vali-pedali eunet digsys
  • principal vt linux aix unix mail www host abc servidor veliko-tar
  • com edu org mil gov net bg tr gr uk ca ro jp
La dirección "RCPT a" se selecciona al azar de las siguientes variantes:

gerry@tetra.bg
administrator@tetra.bg
tetranet@tetra.bg
root@vt.bitex.com
peterc@vt.bitex.com
ivanp@vt.bitex.com
root@tarnovo.eunet.bg
master@tarnovo.eunet.bg
webmaster@tarnovo.eunet.bg
root@server.vt.bia-bg.com
webmaster@mail.vt.bia-bg.com
webmaster@tetra.bg
El sujeto se selecciona al azar de las siguientes variantes:

Jajaja
Sector malo wi razkaza igrata :))
¡Saludos desde el sector malo! Po-zdrawi
Vleze li wi sega?
Re
Hola, kak e?
Ko staa, ima problemi li
Mal sector
Kogato grum udari …
etc.
Las oraciones del cuerpo del mensaje se construyen al azar a partir de un gran conjunto de verbos, palabras y subfrases, en parte son groseras, en su mayoría en búlgaro. No hay ninguna razón para enumerarlos a todos aquí.


Enlace al original