w32/pkasa@mm, i-worm.ainjo.e, win32.hllm.generic.132
tipo: gusano e-mail
tama?o: 127,488 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.4, registro de virus al 24/01/2003
w32/pkasa , es un gusano que se transmite a través de e-mail y a todas las direcciones que encuentre en la libreta de direcciones de outlook express. también utiliza el mirc, la red de intercambio de archivos kazaa y disquetes.
caracteristicas del mensaje de email:
asunto: cualquiera de la siguiente lista
thank you ! the e.a.s.e system can make you money at home!! free software, download it now !! confirmation email - required ! free mp3. ogg/vorbis hit songs !! re: your daily report you are losing income download dvd movie now !! its free..! why not check it out? its free! cuerpo : cualquiera de los siguientes:
have i peaked your curiosity?
this is something that i think that anyone who is serious about marketing and being on the internet should check out.
save it now !
-------------------
hello!
need a quick $100 today?
need a quick $500 this week?
need to quickly build a $5,000 monthly income?
download the attachment now !
-------------------
the mastercard stored value card is good anywhere in the world that mastercard is accepted! apply now and get $20 free!!
download it now and get free bonus!
archivo adjunto : es un archivo .zip que puede ser cualquiera de los siguientes
bonus.zip report.zip freepic.zip freejoin.zip ffa.zip el archivo .zip tiene un tamaño aproximado de 116,540, este contiene una copia del gusano, el gusano que esta comprimido en el zip, puede tomar cualquiera de los nombres de la siguiente lista :
sexy.exe report.exe fisting.exe freejoin.exe --------------------------------------------------------
cuando el gusano se ejecuta se copia así mismo en:
c:\windows\kernelw32.exe
c:\windows\blank.scr
seguidamente se copia en la unidad raiz con un nombre de archivo variable, y muestra un mensaje con el siguiente texto:
winzip
error in file #1: bad zip file offset (error local header signature not found): disk #1 offset:
68669733
[ok]
además tambien crea una entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\runservices
kernelw=c:\windows\kernelw32.exe
-----------------------------------------
el gusano utiliza un nombre de archivo variable, las extensiones que utiliza puede ser una de las siguientes .exe, .scr, .lnk, .doc, .xls, .jpg, .mp3, .mpg, .htm, .html .
también tratará de copiarse en los disquetes y unidades de red como, utilizando una doble extensión :
asian106.jpg.exe sexygirls749.jpg.exe lesbian606.jpg.scr además el gusano hace multiples copias de si mismo en la carpeta compartida del kazaa para de esta manera infectar a otros usuarios.
amateure686146203jpg.exe antiviral.exe asian462572179jpg.exe avupdate.exe free_firewall.exe fetish227628495jpg.exe fisting282627155jpg.exe girls673729390jpg.exe liveupdate.exe lolita16451450jpg.exe mcafee.exe navupdate.exe nude85872349jpg.exe password.exe pic909599469jpg.exe preeteens322361381jpg.exe sexshow.exe sexy789731202jpg.exe xppatch.exe
el gusano también el utiliza el mirc para infectar a otros usuarios que esten conectados en el mismo canal irc que el usuario infectado, este envia un archivo .zip llamado freepic.zip , con un mensaje que dice que el archivo contiene imagenes pornográficas.
finalmente modifica el archivo win.ini y system.ini con las siguientes lineas :
win.ini
load=c:\windows\kernelw32.exe
[worm]
name=i-worm.perkasa
author=iwing/indovirus
system.ini
[boot]
scrnsave.exe=c:\windows\blank.scr
|
