Mydoom.BR. Se propaga por email y KaZaa, usa rootkit

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Mydoom.BR. Se propaga por email y KaZaa, usa rootkit

Compartir


Nombre: Mydoom.BR
Nombre NOD32: Win32/Mydoom.BR
Tipo: Gusano de Internet
Alias: Mydoom.BR, Email-Worm.Win32.Gurong.a, Gurong.A , Win32/Mydoom.BR, WORM_MYDOOM.BK
Fecha: 21/mar/06
Plataforma: Windows 32-bit
Tamaño: 28,160 bytes (UPX)

Gusano que se propaga por correo electrónico y la red de intercambio de archivos KaZaa.

Utiliza mensajes con asuntos, textos y nombres de archivos adjuntos variables.

Esta variante, agrega funcionalidades de rootkit, lo que le permite esconder ciertos procesos, archivos y claves del registro, dificultando su detección y eliminación.

Cuando se ejecuta, abre el bloc de notas y muestra caracteres sin sentido.

El mensaje puede tener alguno de los siguientes asuntos:
[caracteres al azar]
Greetings!
Hello friend
Hey dear!
Re: Hello
Re: I got it! Try it now!
Re[2]: wazzup bro
Wazzap bro!!

El texto del mensaje puede ser uno de los siguientes:

Greetings! Check out my portfolio, please!
Here is some my photos in the archive.

Greetings. Here is some my nude photos in the attachment.

Hello bro! Here is my new girlfriend's photo! Check it
out!

Hello buddy! Take a look at attachment! Here is my nude
17-yr sister!

Hello! Here is NEW smiles pack for MSN messenger! It is
really cool

Hello! I sent you new skype plug-in, as you wished.

Hello! There is NEW plug-in for MSN. Try it out!

Hey bro! Check out attachment! There is a new plug-in for
skype!

Hey dear! Here is my photos, as I promised.

Hey friend! Try this new smiles pack for MSN messenger!

Hey man! Take a look at attachment!

Whatz up man! There is my nude 17-yr sister in the
attachment!

Los archivos adjuntos, pueden tener alguno de los siguientes nombres:

body.???
conf_data.???
doc.???
document.???
i_love_u.???
i_luv_u.???
port_imgs.???
sex_girls.???
sex_pics.???

Donde "???" puede ser cualquiera de las siguientes extensiones:

.bat
.cmd
.exe
.pif
.scr

Cuando se ejecuta, crea la siguiente copia de si mismo:

c:\windows\system32\wmedia16.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME)

Para autoejecutarse en cada reinicio, crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = "c:\windows\system32\wmedia16.exe"

Cuando el gusano está activo, esconde su propio proceso, archivo y clave que crea en el registro.

Parte de su código es ejecutado a nivel del propio kernel de Windows (ring 0), interceptando y reemplazando ciertas llamadas claves del sistema.

El gusano se copia también en la carpeta compartida del KaZaa, con los siguientes nombres:

0day_patch.???
dcom_patches.???
icq5.???
lsas_patches.???
msblast_patches.???
office_crack.???
skype_video.???
strip-girl4.0c.???
trillian_crack_all.???
winamp5.???
xp_activation.???

Donde "???" puede ser una de las siguientes extensiones:

.exe
.scr
.pif
.bat

Las direcciones para el envío de los mensajes infectados, son tomadas de archivos del equipo infectado, con las siguientes extensiones:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas, y algunos de los siguientes nombres de usuario:

alexey
alice
andrew
boris
brenda
brent
brian
claudia
craig
cyber
david
debby
dmitry
frank
george
gerhard
helen
james
jayson
jerry
jimmy
julie
kevin
linda
linda
maria
marina
michael
nikolay
peter
robert
sandra
smith
steve
Vladimir

También puede utilizar algunos de los siguientes dominios en las direcciones falsas que genera:

@aol.com
@earthlink.net
@hotmail.com
@msn.com
@yahoo.com

Ignora las direcciones que contengan cualquiera de las siguientes cadenas en su nombre:

.aero
.gov
.mil
accoun
AccountRobot
acketst
admin
alert
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fethard
fido
foo.
fraud
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
webmoney
you
your

---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 22-Mar-2006, a las 23:52 Vistas: 527
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
email, kazaa, propaga, rootkits


Temas Similares
» PeerBot.NAC. Se propaga a través de KaZaa e IRC 0
» PeerBot.NAB. Se propaga a través de KaZaa e IRC 0
» Mydoom.BV. Se propaga por email y abre backdoor 0
» Mydoom.BU. Se propaga por email y abre backdoor 0
» Mydoom.BS. Se propaga por email y abre backdoor 0
» Mydoom.BQ. Se propaga por correo electrónico y KaZaa 0
» Mydoom.BN. Se propaga por correo electrónico y KaZaa 0
» Incef.B. Se propaga por la red KaZaa y canales de IRC 0
» Incef.A. Se propaga por la red KaZaa y canales de IRC 0
» W32/Mujpider.A. Se propaga por IRC y KaZaa 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 17:02.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4