worm_stration.bb, email-worm.win32.warezov.q, win32/stration.4dh!worm, win32/stration.af
tipo: gusano
tama?o: 151,251 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9 y 6.0 al 12/09/2006.
descripción:
w32/stration.af , es un gusano que se difunde a trav?s de envi? masivo de e-mail, busca direcciones de e-mail dentro de archivos con las siguientes extensiones .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls y .xml para luego enviarse a si mismo a todas las direcciones encontradas.
caracter?sticas del mensaje de email:
asunto: [variable uno de los siguientes]
good day server report hello picture status test error mail delivery system mail transaction failed mail server report cuerpo:
mail server report.
our firewall determined the e-mails containing worm copies are being sent from your computer.
nowadays it happens from many computers, because this is a new virus type (network worms).
using the new bug in the windows, these viruses infect the computer unnoticeably.
after the penetrating into the computer the virus harvests all the e-mail addresses and sends the
copies of itself to these e-mail addresses
please install updates for worm elimination and your computer restoring.
best regards,
customers support service
archivo adjunto: [variable uno de los siguientes nombres, seguido de dobles extensiones]
body data doc document file message readme test tex update-kb[n?meros aleatorios]-x86 - primera extensi?n, puede ser una de las siguientes (.log, .elm, .msg, .txt o .doc)
- segunda extensi?n, seguido por espacios en blanco y por una de las siguientes extensiones (.bat, .cmd, .scr, .exe y .pif)
----------------------------
cuando el gusano se ejecuta abre el block de notas y se copia a si mismo dentro de:
windows \tsrv.exe tambi?n crea los siguientes archivos dentro de:
windows \tsrv.dll windows \tsrv.s windows \tsrv.wax system \cmut449c14b7.dll system \hpzl449c14b7.exe system \msji449c14b7.dll nota:
- windows , representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
tsrv= windows \tsrv.exe
tambi?n crea la siguiente entrada en el registro:
hkey_local_machine\software\microsoft\windows nt\currentversion\windows
appinit_dlls = msji449c14b7.dll daniwshb.dll msv1nv4_.dll
tambi?n crea los siguientes archivos dentro de:
c:\windows\system32\acac.dll c:\windows\system32\daniwshb.dll c:\wndows\system32\dsoukbda.exe c:\windowsws\system32\msv1nv4_.dll c:\windows\system32\msvfjspr.dll finalmente el gusano sobrescribe el archivo hosts para poder bloquear el acceso a los siguientes sitios.
127.0.0.1 download.microsoft.com 127.0.0.1 go.microsoft.com 127.0.0.1 msdn.microsoft.com 127.0.0.1 office.microsoft.com 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 http://www.microsoft.com/downloads/search.aspx?displaylang=en 127.0.0.1 avp.ru 127.0.0.1 www.avp.ru 127.0.0.1 http://avp.ru 127.0.0.1 http://www.avp.ru 127.0.0.1 kaspersky.ru 127.0.0.1 www.kaspersky.ru 127.0.0.1 http://kaspersky.ru 127.0.0.1 kaspersky.com 127.0.0.1 www.kaspersky.com 127.0.0.1 http://]kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 http://kaspersky-labs.com 127.0.0.1 avp.ru/download/ 127.0.0.1 www.avp.ru/download/ 127.0.0.1 http://www.avp.ru/download/ 127.0.0.1 http://www.kaspersky.ru/updates/ 127.0.0.1 http://www.kaspersky-labs.com/updates/ 127.0.0.1 http://kaspersky.ru/updates/ 127.0.0.1 http://kaspersky-labs.com/updates/ 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads5.kaspersky-labs.com 127.0.0.1 http://downloads1.kaspersky-labs.com 127.0.0.1 http://downloads2.kaspersky-labs.com 127.0.0.1 http://downloads3.kaspersky-labs.com 127.0.0.1 http://downloads4.kaspersky-labs.com 127.0.0.1 http://downloads5.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com/products/ 127.0.0.1 downloads2.kaspersky-labs.com/products/ 127.0.0.1 downloads3.kaspersky-labs.com/products/ 127.0.0.1 downloads4.kaspersky-labs.com/products/ 127.0.0.1 downloads5.kaspersky-labs.com/products/ 127.0.0.1 http://downloads1.kaspersky-labs.com/products/ 127.0.0.1 http://downloads2.kaspersky-labs.com/products/ 127.0.0.1 http://downloads3.kaspersky-labs.com/products/ 127.0.0.1 http://downloads4.kaspersky-labs.com/products/ 127.0.0.1 http://downloads5.kaspersky-labs.com/products/ 127.0.0.1 downloads1.kaspersky-labs.com/updates/ 127.0.0.1 downloads2.kaspersky-labs.com/updates/ 127.0.0.1 downloads3.kaspersky-labs.com/updates/ 127.0.0.1 downloads4.kaspersky-labs.com/updates/ 127.0.0.1 downloads5.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads1.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads2.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads3.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads4.kaspersky-labs.com/updates/ 127.0.0.1 http://downloads5.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads1.kaspersky-labs.com 127.0.0.1 ftp://downloads2.kaspersky-labs.com 127.0.0.1 ftp://downloads3.kaspersky-labs.com 127.0.0.1 ftp://downloads4.kaspersky-labs.com 127.0.0.1 ftp://downloads5.kaspersky-labs.com 127.0.0.1 ftp://downloads1.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads2.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads3.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads4.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads5.kaspersky-labs.com/products/ 127.0.0.1 ftp://downloads1.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads2.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads3.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads4.kaspersky-labs.com/updates/ 127.0.0.1 ftp://downloads5.kaspersky-labs.com/updates/ 127.0.0.1 http://updates.kaspersky-labs.com/updates/ 127.0.0.1 http://updates1.kaspersky-labs.com/updates/ 127.0.0.1 http://updates2.kaspersky-labs.com/updates/ 127.0.0.1 http://updates3.kaspersky-labs.com/updates/ 127.0.0.1 http://updates4.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates1.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates2.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates3.kaspersky-labs.com/updates/ 127.0.0.1 ftp://updates4.kaspersky-labs.com/updates/ 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 http://viruslist.com 127.0.0.1 viruslist.ru 127.0.0.1 www.viruslist.ru 127.0.0.1 http://viruslist.ru 127.0.0.1 ftp://ftp.kasperskylab.ru/updates/ 127.0.0.1 symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 http://symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 http://customer.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 http://liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 http://liveupdate.symantecliveupdate.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 http://securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 http://service1.symantec.com 127.0.0.1 symantec.com/updates 127.0.0.1 http://symantec.com/updates 127.0.0.1 updates.symantec.com 127.0.0.1 http://updates.symantec.com 127.0.0.1 eset.com/ 127.0.0.1 www.eset.com/ 127.0.0.1 http://www.eset.com/ 127.0.0.1 eset.com/products/index.php 127.0.0.1 www.eset.com/products/index.php 127.0.0.1 http://www.eset.com/products/index.php 127.0.0.1 eset.com/download/index.php 127.0.0.1 www.eset.com/download/index.php 127.0.0.1 http://www.eset.com/download/index.php 127.0.0.1 eset.com/joomla/ 127.0.0.1 www.eset.com/joomla/ 127.0.0.1 http://www.eset.com/joomla/ 127.0.0.1 u3.eset.com/ 127.0.0.1 http://u3.eset.com/ 127.0.0.1 u4.eset.com/ 127.0.0.1 http://u4.eset.com/ 127.0.0.1 www.symantec.com/updates |
