email-worm.win32.womble.d, win32/womble.d, worm.womble.d, worm/womble.d, w32/womble.d@mm, i-worm.womble.b1, win32.womble.c@mm, w32/womble.c, i-worm/mytob.alu, win32.hllm.oder
tipo: gusano
tama?o: 78,336 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9 y 6.0 al 14/09/2006.
descripción:
w32/womble.d , es un gusano que se difunde aprovech?ndose de una vulnerabilidad de microsoft, carpetas compartidas y a trav?s de envi? masivo de e-mail. el gusano utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail encontradas en el computador atacado.
caracter?sticas del mensaje de email:
asunto: [variable, uno de los siguientes]
!! action beauty bush fifa helo hi important incredible!! info kiss laura and john lola look at this!!! miss khan nataly ola olympus paula pics private pics re: re: re: hi re: info re: pic re:hi re:info read this robert sex cuerpo:
attach file...
archivo adjunto: [variable uno de los siguientes]
free_antivirus.pif.zip mails.jpg some_info.wmf www.jpg.zip your_friends.wmf.zip ----------------------------
cuando el gusano se ejecuta se copia a si mismo dentro de la carpeta de sistema con un nombre aleatorio:
system \[nombre original del archivo del gusano].exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
ms_net_update= system \[nombre original del archivo del gusano].exe
hkey_current_user\software\microsoft\windows\currentversion\run
ms_net_update= system \[nombre original del archivo del gusano].exe
finalmente el gusano intenta difundirse a otras computadoras aprovech?ndose de la vulnerabilidad en el motor de gr?ficos de windows que permite ejecuci?n de c?digo remoto, descrito en el bolet?n de seguridad ms06-001
|
