ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.Shorm

Clase Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de red que se extiende a través de redes locales y globales. Para propagarse, el gusano se conecta a computadoras remotas, y si el disco se comparte para un acceso completo, el gusano se copia allí al directorio de inicio de Windows (si existe).

El gusano también tiene la capacidad de robar contraseñas. Obtiene información de RAS (usuario, números de teléfono, contraseñas), así como contraseñas almacenadas en caché y las envía a dos direcciones de correo electrónico de krenx@mail.ru y winam@mail.ru.

El gusano en sí es una aplicación Win32 (archivo PE EXE) escrita en Delphi y comprimida con la utilidad de compresión ASpach PE EXE. El cuerpo del gusano contiene el siguiente texto:

SharedWorm v1.2

Cuando se ejecuta el gusano, se copia en el directorio del sistema de Windows con tres nombres: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE, y registra estos archivos en las siguientes claves de ejecución automática del Registro:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Por lo tanto, el gusano se ejecuta cada vez que se reinicia Windows.

El gusano se conecta a la página web "http://krenx.newmail.ru/ip.txt" y lee su contenido. Esa página contiene una lista de direcciones IP de subred. Hay tres números en la dirección en lugar de cuatro números de dirección IP, por ejemplo:

194.135.175.
213.24.179.
195.209.191.
213.59.57.

El gusano selecciona aleatoriamente una de estas "máscaras" de subred e intenta conectarse a cada máquina en la subred. Si la conexión tiene éxito, el gusano intenta acceder a los archivos del disco duro de esa computadora, luego ubica el nombre del directorio de Windows en esa computadora y se copia a sí mismo allí con el siguiente nombre:

Start MenuProgramsStartUpAVPMonitor.exe

Por lo tanto, la copia del gusano se coloca en el directorio de inicio automático de Windows y se activa el próximo reinicio de Windows.

El gusano también puede actualizarse a sí mismo desde un sitio de Internet. Obtiene el archivo de Internet "http://krenx.newmail.ru/win.exe", lo copia en la máquina local y lo ejecuta.


Enlace al original