w32.neveg.c@mm , w32/nevag.c@mm
tipo: gusano de email
tama?o: 52,294 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 17/08/2004 descripción:
w32/neveg.c@mm , es un gusano de envi? masivo de e-mail, utiliza su propio motor smtp para poder enviarse a todas las direcciones que encuentre en el computador atacado.
el gusano tambi?n se difunde a trav?s de los recursos compartidos y realiza ataques de denegaci?n de servicio (dos) a varios sitios web.
cuando el gusano se ejecuta crea un mutex de nombre 4d36e64a-w325-121e-bfc1-080c2be11318 , el cual permite que solo una instancia de este se ejecute.
seguidamente se copia a si mismo como:
windows \system\services.exe
nota:
windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt)
adem?s crea una de las siguientes entradas en el registro
hkey_local_machine\software\microsoft\windows\currentversion\run
.prog= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
buildlab= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
ccapps= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
friendlytypename= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft visual sourcesafe= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
regdone= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
textconv= windows \system\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
wmaudio= windows \system\services.exe
luego busca direcciones de email en archivos con las siguientes extensiones, .hlp, .xml, .xls, .wsh, .wab, .vbs, .uin, .txt, .tbb, .stm, .shtm, .sht, .rtf, .pl, .php, .oft, .ods, .nch, .msg, .mmf, .mht, .mdx, .mbx, .jsp, .html, .htm, .eml, .dhtm, .dbx, .cgi, .cfg, .asp y .adb. las direcciones que encuentre son guardadas en un archivo de nombre setup32ea.bak dentro de la carpeta system
el gusano intentar? enviarse a si mismo utilizando su propio motor smtp. el mensaje de email llega con uno de los siguientes archivos como adjunto:
office.exe notes.exe doom3demo.exe resume.exe files.exe request.exe info.exe details.exe result.exe results.exe install.exe setup.exe test.exe google.exe se_files.exe el gusano evita enviar emails a las direcciones que contengan en su nombre alguno de los siguientes textos:
.gbl symant norton @mcaf openbsd freebsd gnu. .gov .mil microso kaspers seguidamente busca carpetas compartidas que en su nombre tengan los siguientes textos:
shared files shar my shared folder mule morpheuslime kazaa icq http htdocs ftp download donkey bear upload si los encuentra se copiar? en estas como:
xxx hardcore images.exe windows sourcecode update.doc.exe windown longhorn beta leak.exe winamp 6 new!.exe winamp 5 pro keygen crack update.exe serials.txt.exe porno, sex, oral, anal cool, awesome!!.exe porno screensaver.scr porno pics arhive, xxx.exe opera 8 new!.exe microsoft windows xp, winxp crack, working keygen.exe microsoft office xp working crack, keygen.exe microsoft office 2003 crack, working!.exe matrix 3 revolution english subtitles.exe kav 5.0.exe kaspersky antivirus 5.0.exe ahead nero 7.exe adobe photoshop 9 full.exe acdsee 9.exe finalmente realiza ataques de denegaci?n de servicio (dos) a los siguientes sitios web:
www.hvr-systems.cc www.real-creative.de www.2rebrand.com www.designload.com www.designgalaxy.net www.procartoonz.com www.designload.net |
