Existe una posible infección cuando aparece un mensaje como el siguiente:
Error
The file could not be opened!
[ OK ]
Análisis:
El gusano es un archivo de 22,016 bytes.
Puede llegar en un mensaje como el siguiente:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning
Texto del mensaje: [uno de los siguientes]
about me
anything ok?
do you?
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i"m waiting
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
misc
my hero
ok
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
that"s funny
thats wrong
what does it mean?
why?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
Datos adjuntos: [uno de los siguientes nombres]
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
El adjunto podrá tener alguna de estas extensiones:
.com
.doc
.doc.com
.doc.exe
.doc.pif
.doc.scr
.exe
.htm
.htm.com
.htm.exe
.htm.pif
.htm.scr
.pif
.rtf
.rtf.com
.rtf.exe
.rtf.pif
.rtf.scr
.scr
.txt
.txt.com
.txt.exe
.txt.pif
.txt.scr
.zip
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\services.exe
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
service = c:\windows\services.exe -serv
Acciones:
Al ejecutarse, muestra una ventana de error falsa con el siguiente texto:
Error
The file could not be opened!
[ OK ]
Cuando el gusano encuentra alguna carpeta cuyo nombre contenga las palabras "sharing" o "share", se copia a si mismo a dichas carpetas con los siguientes nombres:
angels.pif
cool screensaver.scr
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e.book.doc.exe
e-book.archive.doc.exe
eminem - lick my pussy.mp3.pif
hardcore porn.jpg.exe
how to hack.doc.exe
matrix.scr
max payne 2.crack.exe
nero.7.exe
office_crack.exe
photoshop 9 crack.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
serial.txt.exe
sex sex sex sex.doc.exe
strippoker.exe
virii.scr
win longhorn.doc.exe
winxp_crack.exe
También intenta borrar las siguientes entradas, correspondientes a otros gusanos (Mydoom A y B), y software antivirus:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Taskmon
Explorer
system.
KasperskyAv
HKCU\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Taskmon
Explorer
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
system.
HKCR\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
El gusano busca direcciones de correo en todas las unidades de disco de la C a la Z (excepto unidades de CD), dentro de archivos con las siguientes extensiones:
.adb
.asp
.dbx
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.tbb
.txt
.uin
.vbs
.wab
Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo. Primero genera un .ZIP conteniendo una copia de si mismo. El nombre del archivo y el de su contenido es el mismo (con diferente extensión), y es seleccionado al azar de la siguiente lista:
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
Los ejecutables del gusano tendrán una o dos extensiones, la primera de ellas una de las siguientes:
.doc
.htm
.rtf
.txt
La segunda extensión puede ser una de las siguientes:
.com
.exe
.pif
.scr
El archivo ZIP tendrá el mismo nombre, pero con la extensión .ZIP.
Ejemplos:
shower.zip -> shower.doc.exe
website.zip -> website.pif
mail2.zip -> mail2.com
Este ZIP será el adjunto de los mensajes que envíe. También puede enviar como adjunto, uno de los ejecutables creados.
Forma de eleminar:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
2. Elimine bajo la columna "Nombre", la entrada "service" en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
3. Cierre el editor del registro.
4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
No hay comentarios:
Publicar un comentario