VIRUS: *WIN32/PADOWOR.A

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS: *WIN32/PADOWOR.A

Compartir

DESCRIPCION

nombre: Win32/Padowor.A
aliases: Email-Worm.Win32.Padowor.a, [email protected], Win32.HLLM.Pawur, W32/Inforyou-A, WORM_INFORYOU.A, Worm/Padowor.A, W32/Padowor.A, I-Worm/Padowor.A, [email protected], Worm.Padowor.A, W32/Inforyou.A.worm
tipo: Gusano de Internet
fecha: 04/03/2005
gravedad general: Media
distribución: Media
daño: Medio
tamaño: 72,767 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Gusano que se propaga por correo electrónico enviando una copia de si mismo a todos los contactos de la libreta de direcciones.

CARACTERISTICAS

Cuando el gusano se ejecuta crea una copia de si mismo utilizando un nombre aleatorio dentro de la siguiente carpeta:

C:\Windows\System

Crea el siguiente archivo, el cual es utilizado para almacenar todas las direcciones obtenidas del equipo infectado:

C:\Windows\System\MSDevBase.dat

También crea un archivo ".dll" con nombre al azar en la siguiente carpeta:

C:\Windows\System

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

El gusano crea las siguientes entradas en el registro de Windows:

HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
.Net Framework =
{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}

HKLM\Software\Classes\CLSID
\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
\InProcServer32
(Predeterminado) =
c:\windows\system\[nombre del archivo].dll

HKCR\CLSID\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}
\InProcServer32
(Predeterminado) =
c:\windows\system\[nombre del archivo].dll

Obtiene direcciones de correo electrónico de la libreta de direcciones de Windows, luego envía mensajes con las siguientes características a todos los contactos encontrados:


Asunto: [uno de la siguiente lista]

cyber porno art
His photo.
My username descriptions.
My West Coast Bank registration data disabled.
Take update of credit access program.
Their image.
Update your credit client program.

Texto del mensaje: [uno de los siguientes]


- Greetings, do you remember you spoke something about
their image in a naked kind?
I have found a little bit, i don`t know it is pleasant
to you whether or not but i have decided
to give to see it to you
magic word:...
As you will decide to have a rest with me, call.
winxp.

- Hello, my name is :.., i am from branch of
State Central Bank.
Too hour ago my manager, has asked me to notify
you about that our firm has released the new
version of credit client program,
unfortunately to send the program from work i have not
had time therefore i send file from home.
Information about account program inside package.
Don`t forget unlock pass is Amo:...
I am sorry.

- Dear Jack, you ask me about our registration
reports and i send it to you
Also i found some interesting info about our budget usage,
if you have free minute please familiarize with this report.
You should remember this personal information
only for you, access code is ::::. Your data i package file.

Datos adjuntos: [uno de los siguientes]

###adult.???
##-photo.???
#HardArt.???
#MyPhoto.???
#Sex.jpg.???
Applic-#.???
Art-####.???
AssFuck#.???
Blondes#.???
Blowjobs.???
CKeeper#.???
Credit##.???
details#.???
Dildos##.???
Fucking#.???
Girls-##.???
HardCor#.???
Image-##.???
Image###.???
Inf-####.???
Inf4You#.???
InfNo###.???
info-###.???
ItsMe-##.???
Keeper##.???
Lesbian#.???
Me-#####.???
MKeep###.???
MKp##Upd.???
MoneyKe#.???
MyImage#.???
MyPhoto#.???
NudeGirl.???
NWUpdate.???
Orgy####.???
Photo###.???
PInform#.???
Porn-###.???
Porno-##.???
PornStar.???
Program#.???
Pussy###.???
Rep-####.???
report##.???
Sadomaso.???
SecRep##.???
SInfo###.???
SoftCor#.???
Teens-##.???
Update##.???
vibrator.???
Xxx#.jpg.???
YouAndI#.???
Your-###.???
YourRep#.???

Donde el caracter "#" es un caracter aleatorio, y "???" es una de las siguientes extensiones:

.exe
.pif
.scr
.zip

El gusano abre un puerto TCP aleatorio y espera comandos remotos de un atacante externo.

También realiza ataques de denegación de servicio a los siguientes sitios:

http://50sbrotherhood.com/ikAARBbH
http://anypets.com/sotNuSLd
http://bcn4life.com/KMjvnkAc
http://beeslender.com/LzKDMFVx
http://cambodiaclassic.com/tAnwLRRp
http://divasonic.com/zDcdWXDA
http://fresh895fm.com/JnaCMJGA
http://galeriass.com/mRDxxkyz
http://hpbyggematrialer.dk/jEoESVah
http://hydrocut.com/KzfDvbjk
http://linux-bulgaria.org/ZPImndAd
http://opticalinstrument.com.cn/OfRRnhYY
http://organicbabe.com.au/QoGJQIZV
http://pbwga.com/KJvaslsl
http://piraten.dk/BGAiQOtB
http://pitzmedia.com/AGgRBzQd
http://poemas-de-amor.org/sQAAXWrE
http://praha-mesto.cz/VeTBmiUj
http://sakichan.ho8.com/KDCvKLFh
http://smirkingchimp.com/lldLmfSD
http://snodgers.com/zmvIKkla
http://synodcathedral.org/KVrxusoL
http://therefrisky.com/kjnvaPPa
http://usdacrc.com/gGVrsjlh
http://wildrice.com/kdmvflkz
http://wolfscreek.com/lOnFQYoO
http://www.asis.com/LMlakmvb
http://www.cashetta.com/LlksvIJH
http://www.divasonic.com/zDcdWXDA
http://www.lysbordet.com/OJJAtUEo
http://www.pitzmedia.com/AGgRBzQd

Intenta terminar procesos cuyo nombre contenga alguna de las siguientes cadenas:

Detector de OfficeScanNT
McAfee Framework Service
Norton Antivirus Service
Panda Antivirus
sharedaccess
ZoneAlarm

El gusano tiene el siguiente texto en su código:

From alqaeda with love

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada ".Net Framework", en la siguiente clave del registro:

HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad

6. Busque la siguiente clave del registro:

HKCR\CLSID\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}

7. Elimine la siguiente clave

{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}

8. Busque la siguiente clave del registro:

HKLM\Software\Classes\CLSID
\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}

9. Elimine la siguiente clave:

{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}

10. Cierre el editor del Registro del sistema.

11. Busque y elimine el siguiente archivo:

C:\Windows\System\MSDevBase.dat

12. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 05-Mar-2005, a las 04:23 Vistas: 461
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» virus psw.win32.onlinegamez 0
» VIRUS: WIN32/AGOBOT.SV 0
» VIRUS: WIN32/VB.NAS 0
» VIRUS: WIN32/VB.CZ 0
» VIRUS: *WIN32/SUMOM.D 0
» VIRUS: *WIN32/MYFIP.Q 0
» VIRUS: *WIN32/MYTOB.F 0
» VIRUS: *WIN32/VB.NBO 0
» VIRUS: *WIN32/SOBER.L 0
» VIRUS: *WIN32/KIPIS.O 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 13:33.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4