w32.s none.a, adclicker-bd, worm.msn.elon.a
tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 16/09/2004
w32/wode.msn , es un gusano que se difunde a trav?s del msn messenger, adjuntando direcciones url maliciosas en los mensajes salientes del instant messenger, si se accesa a dicho enlace el gusano realiza las siguientes acciones:
accesa a una p?gina web en el dominio xf2s.com y visualiza una fotograf?a, seguidamente se aprovecha de la vulnerabilidad microsoft internet explorer its protocol zone bypass descrita en el bolet?n microsoft security bulletin ms04-013 , el cual permite ejecutar un archivo .chm en el mismo sitio. descarga y ejecuta los siguientes archivos: c:\syshttp1.sys c:\syshttp2.sys seguidamente copia los siguientes archivos: system \moniker.exe system \hktt.dll (archivo legitimo) temp \win[#].tmp (es una copia de hktt.dll, [#]es un n?mero entero aleatorio) nota:
- system representa la carpeta system de windows (ej. c:\windows\system, c:\winnt \system)
- temp representa la carpeta temporal (ej. c:\windows\temp , c:\winnt\temp)
adem?s crea la siguiente entrada para poder ejecutarse en cada inicio del sistema hkey_local_machine\software\microsoft\windows\currentversion\run
realone_nt2003= system \moniker.exe
finaliza el zonealarm y los siguientes procesos:
ravmon.exe eghost.exe mailmon.exe netbargp.exe finalmente cuando moniker.exe se ejecute, este utilizar? el archivo hktt.dll para adjuntarse al instant messenger msn, esto ocasionar? que se envi? una direcci?n url maliciosa y un mensaje en chino a trav?s del msn. |
