Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de red que se extiende a través de redes locales y globales. Para propagarse, el gusano se conecta a computadoras remotas, y si el disco se comparte para un acceso completo, el gusano se copia allí al directorio de inicio de Windows (si existe).

El gusano también tiene la capacidad de robar contraseñas. Obtiene información de RAS (usuario, números de teléfono, contraseñas), así como contraseñas almacenadas en caché y las envía a dos direcciones de correo electrónico de krenx@mail.ru y winam@mail.ru.

El gusano en sí es una aplicación Win32 (archivo PE EXE) escrita en Delphi y comprimida con la utilidad de compresión ASpach PE EXE. El cuerpo del gusano contiene el siguiente texto:

SharedWorm v1.2

Cuando se ejecuta el gusano, se copia en el directorio del sistema de Windows con tres nombres: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE, y registra estos archivos en las siguientes claves de ejecución automática del Registro:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Por lo tanto, el gusano se ejecuta cada vez que se reinicia Windows.

El gusano se conecta a la página web "http://krenx.newmail.ru/ip.txt" y lee su contenido. Esa página contiene una lista de direcciones IP de subred. Hay tres números en la dirección en lugar de cuatro números de dirección IP, por ejemplo:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

El gusano selecciona aleatoriamente una de estas "máscaras" de subred e intenta conectarse a cada máquina en la subred. Si la conexión tiene éxito, el gusano intenta acceder a los archivos del disco duro de esa computadora, luego ubica el nombre del directorio de Windows en esa computadora y se copia a sí mismo allí con el siguiente nombre:

Start MenuProgramsStartUpAVPMonitor.exe

Por lo tanto, la copia del gusano se coloca en el directorio de inicio automático de Windows y se activa el próximo reinicio de Windows.

El gusano también puede actualizarse a sí mismo desde un sitio de Internet. Obtiene el archivo de Internet "http://krenx.newmail.ru/win.exe", lo copia en la máquina local y lo ejecuta.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de red que se extiende a través de redes locales y globales. Para propagarse, el gusano se conecta a computadoras remotas, y si el disco se comparte para un acceso completo, el gusano se copia allí al directorio de inicio de Windows (si existe). El gusano también tiene la capacidad de robar contraseñas. Obtiene información de RAS (usuario, números de teléfono, contraseñas), así como contraseñas almacenadas en caché y las envía a dos direcciones de correo electrónico de krenx@mail.ru y winam@mail.ru. El gusano en sí es una aplicación Win32 (archivo PE EXE) escrita en Delphi y comprimida con la utilidad de compresión ASpach PE EXE. El cuerpo del gusano contiene el siguiente texto: SharedWorm v1.2 Cuando se ejecuta el gusano, se copia en el directorio del sistema de Windows con tres nombres: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE, y registra estos archivos en las siguientes claves de ejecución automática del Registro: HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices Por lo tanto, el gusano se ejecuta cada vez que se reinicia Windows. El gusano se conecta a la página web "http://krenx.newmail.ru/ip.txt" y lee su contenido. Esa página contiene una lista de direcciones IP de subred. Hay tres números en la dirección en lugar de cuatro números de dirección IP, por ejemplo: 194.135.175. 213.24.179. 195.209.191. 213.59.57. El gusano selecciona aleatoriamente una de estas "máscaras" de subred e intenta conectarse a cada máquina en la subred. Si la conexión tiene éxito, el gusano intenta acceder a los archivos del disco duro de esa computadora, luego ubica el nombre del directorio de Windows en esa computadora y se copia a sí mismo allí con el siguiente nombre: Start MenuProgramsStartUpAVPMonitor.exe Por lo tanto, la copia del gusano se coloca en el directorio de inicio automático de Windows y se activa el próximo reinicio de Windows. El gusano también puede actualizarse a sí mismo desde un sitio de Internet. Obtiene el archivo de Internet "http://krenx.newmail.ru/win.exe", lo copia en la máquina local y lo ejecuta.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Worm.Win32.Shorm

Detalles técnicos