ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win32.Alman

Fecha de detección 06/19/2007
Clase Virus
Plataforma Win32
Descripción

El virus infecta todos los archivos ejecutables de Windows accesibles de escritura (PE-EXE) en todos los discos en la computadora de la víctima y en las carpetas de red accesibles. El virus no infecta archivos con los siguientes nombres:

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



game.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neuz.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

El virus escribe su archivo ejecutable al principio del archivo infectado, desplazando hacia abajo el contenido original del archivo.

Para infectar archivos ubicados en carpetas de red, el virus intenta conectarse a máquinas remotas utilizando la cuenta de administrador y una de las siguientes contraseñas:

 zxcv



qazwsx



qaz



qwer



! @ # $% ^ & * ()



! @ # $% ^ & * (



! @ # $% ^ & *



! @ # $% ^ &



! @ # $% ^



ps



aasdf 



sdfgh



ps



654321



123456



12345



1234



123



111 

El virus también envía información al sitio del usuario malintencionado remoto sobre la cantidad de espacio libre en el disco C, el sistema operativo y las versiones de Internet Explorer en la máquina víctima, y ​​sobre la presencia de controladores en el sistema que tienen uno de los nombres enumerados abajo:

 Hooksys



KWatch3



KregEx



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



AvgTdi



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

Esta información se envía en la siguiente solicitud al sitio del usuario malintencionado remoto:

 http: //****mrw0rldwide.com/co.asp? action = post & HD = <cantidad de espacio libre> & OT = <versión del sistema operativo> & IV = <versión de Internet Explorer> & AV = <drivers instalados> 

El virus también obtiene una lista de archivos para descargar desde el siguiente enlace:

http: //****mrw0rldwide.com/z.dat

A continuación, descarga los archivos de la lista, los guarda en el directorio temporal de Windows y los inicia para su ejecución.

En el momento de escribir, el virus descargaba archivos de los siguientes enlaces:

 http: //down****net/css.jpg



http: //down****net/wow.jpg 

y los salvó como se muestra a continuación:

% Temp% css.jpg – este archivo tiene un tamaño de 62 792 bytes. Kaspersky Anti-Virus lo detectará como Trojan-PSW.Win32.OnLineGames.afd;

% Temp% wow.jpg – este archivo tiene un tamaño de 40 241 bytes. Kaspersky Anti-Virus lo detectará como Trojan-PSW.Win32.WOW.sv.


Enlace al original