Noticias relacionadas
Otras noticias
Más noticias
En el foro
Ir al foro de Seguridad
usa rootkit

Aparece el virus Mydoom.BR. que se propaga por email y KaZaa

Nombre: Mydoom.BR Nombre NOD32: Win32/Mydoom.BR Tipo: Gusano de Internet Alias: Mydoom.BR, Email-Worm.Win32.Gurong.a, Gurong.A , Win32/Mydoom.BR, WORM_MYDOOM.BK Fecha: 21/mar/06 Plataforma: Windows 32-bit Tamaño: 28,160 bytes (UPX).

22 Mar 2006 | VS ANTIVIRUS
VGusano que se propaga por correo electrónico y la red de intercambio de archivos KaZaa, según informa Santivirus.

Utiliza mensajes con asuntos, textos y nombres de archivos adjuntos variables.

Esta variante, agrega funcionalidades de rootkit, lo que le permite esconder ciertos procesos, archivos y claves del registro, dificultando su detección y eliminación.

Cuando se ejecuta, abre el bloc de notas y muestra caracteres sin sentido.

El mensaje puede tener alguno de los siguientes asuntos:

[caracteres al azar]
Greetings!
Hello friend ;)
Hey dear!
Re: Hello
Re: I got it! Try it now!
Re[2]: wazzup bro
Wazzap bro!!

El texto del mensaje puede ser uno de los siguientes:

Greetings! Check out my portfolio, please!
Here is some my photos in the archive.

Greetings. Here is some my nude photos in the attachment.

Hello bro! Here is my new girlfriend's photo! Check it
out!

Hello buddy! Take a look at attachment! Here is my nude
17-yr sister!

Hello! Here is NEW smiles pack for MSN messenger! It is
really cool ;)

Hello! I sent you new skype plug-in, as you wished.

Hello! There is NEW plug-in for MSN. Try it out!

Hey bro! Check out attachment! There is a new plug-in for
skype!

Hey dear! Here is my photos, as I promised.

Hey friend! Try this new smiles pack for MSN messenger!

Hey man! Take a look at attachment!

Whatz up man! There is my nude 17-yr sister in the
attachment!

Los archivos adjuntos, pueden tener alguno de los siguientes nombres:

body.???
conf_data.???
doc.???
document.???
i_love_u.???
i_luv_u.???
port_imgs.???
sex_girls.???
sex_pics.???

Donde "???" puede ser cualquiera de las siguientes extensiones:

.bat
.cmd
.exe
.pif
.scr

Cuando se ejecuta, crea la siguiente copia de si mismo:

c:\windows\system32\wmedia16.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME)

Para autoejecutarse en cada reinicio, crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = "c:\windows\system32\wmedia16.exe"

Cuando el gusano está activo, esconde su propio proceso, archivo y clave que crea en el registro.

Parte de su código es ejecutado a nivel del propio kernel de Windows (ring 0), interceptando y reemplazando ciertas llamadas claves del sistema.

El gusano se copia también en la carpeta compartida del KaZaa, con los siguientes nombres:

0day_patch.???
dcom_patches.???
icq5.???
lsas_patches.???
msblast_patches.???
office_crack.???
skype_video.???
strip-girl4.0c.???
trillian_crack_all.???
winamp5.???
xp_activation.???

Donde "???" puede ser una de las siguientes extensiones:

.exe
.scr
.pif
.bat

Las direcciones para el envío de los mensajes infectados, son tomadas de archivos del equipo infectado, con las siguientes extensiones:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas, y algunos de los siguientes nombres de usuario:

alexey
alice
andrew
boris
brenda
brent
brian
claudia
craig
cyber
david
debby
dmitry
frank
george
gerhard
helen
james
jayson
jerry
jimmy
julie
kevin
linda
linda
maria
marina
michael
nikolay
peter
robert
sandra
smith
steve
Vladimir

También puede utilizar algunos de los siguientes dominios en las direcciones falsas que genera:

@aol.com
@earthlink.net
@hotmail.com
@msn.com
@yahoo.com

Ignora las direcciones que contengan cualquiera de las siguientes cadenas en su nombre:

.aero
.gov
.mil
accoun
AccountRobot
acketst
admin
alert
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fethard
fido
foo.
fraud
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
webmoney
you
your

Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
#1 | 07 May 2009, 00:17
YUONNE Greece

Nice site. Thank you.,

#2 | 07 May 2009, 01:14
ZULEMA Hong Kong

Nice site. Thank you.,

#3 | 07 May 2009, 01:44
ILLA Chile

Nice site. Thank you.,

#4 | 07 May 2009, 16:33
GEORGINE China

Nice site. Thank you.,

#5 | 07 May 2009, 18:08
LAKENYA United Arab Emirates

Very good site. Thanks!!,

Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [u], [s], [quote], [code], [spoiler]
Publicidad
Ahora en LaFlecha puedes encontrar Cursos y Másters

  • ¿Quieres saberlo todo sobre Hacking?