w32.timeserv@mm
tipo: gusano
tama?o: 53,248 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 08/06/2006.
w32/timeserv@mm, es un gusano que se difunde a trav?s de envi? masivos de e-mail utilizando su propio motor smtp. se envia a si mismo a todas las direcciones de e-mail que encuentre en el computador atacado.
caracteristicas del mensaje de e-mail:
asunto: microsoft customer support.
cuerpo:
hello dear.
in programm maintenance of corporation microsoft critical vulnerabilyty has been found in processing wmf files. programmers microsoft have let out critical updating for windows 98/2000/xp. we urgently recommend you and to estabilish updating. one copy of updating packet in attach for this letter.
detalis: http://support.microsoft.com
with best regards,
microsoft customer support.
archivo adjunto: timesrv.exe
----------------------
cuando el gusano se ejecuta se copia a si mismo dentro de:
system \timesrv.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea un servicio de nombre microsoft time server para poder ejecutarse en cada inicio del sistema, el cual hace referencia al archivo timesrv.exe que se encuentra dentro de system
tambi?n crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
timesrv= system \timesrv.exe
seguidamente une sus procesos dentro de los procesos del explorer.exe y svchost.exe
finalmente abre el puerto tcp 9999 y queda a la espera de conexiones remotas, adem?s establece comunicaci?n con el siguiente servidor remoto
ad1.iframeuploads.org
|
