w32.hllw.redist@mm, w32/gant.b@mm, win32.thaprog, worm.w32/gant.b@mm
tipo: gusano e-mail
tama?o: 17,920 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.4 y 5.5 al 19/05/2003
w32/redist , es un gusano que se transmite a través de e-mails a todos los contactos de la libreta de direcciones de windows, tambi?n se difunde a trav?s de la red de intercambio de archivos kazaa.
adem?s intenta robar informaci?n del computador atacado y envi?rselo a su creador a trav?s de una direcci?n de email especifica.
características del mensaje de e-mail:
asunto: modem booster
cuerpo:
hello,
i have a fairly slow modem, that is, until i installed the file in the attachments!
this program is a modem booster, it can make your internet connection go at most 2x
faster :)
enjoy!
archivo adjunto : modembooster.exe
-------------------------------
asunto: better than winzip?
cuerpo:
try this file compressor that i downloaded from the net yesterday!
i have compressed some files, and it makes them at least 3 times smaller!
the installation file should be in the attachments as filecompress.exe
cya!
archivo adjunto : filecompress.exe
-------------------------------
asunto : warp screensaver
cuerpo:
try this warp screensaver in the attachments!
cya!
archivo adjunto: warpscreen.scr
-------------------------------
asunto: program
cuerpo:
here is that program that you asked for yesterday.
archivo adjunto : winprg32.pif
-------------------------------
asunto: fire screensaver
cuerpo:
hello,
check out this screensaver of fire!
i think that it is one of the best screensavers that i have ever seen!
cya!
archivo adjunto: firescreen.scr
-------------------------------
asunto: program
cuerpo:
here is a copy of that program that everyone is asking for.
please dont delete it, because i might not send it to anyone else.
thanks.
archivo adjunto: msprg32.pif
-------------------------------
cuando el gusano se ejecuta se copia a si mismo en:
c:\windows\firescreen.scr
c:\windows\msctrl32.scr
adem?s crea una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
msctrl32=c:\windows\msctrl32.scr
luego crea la siguiente entrada en el registro
hkey_current_user\software\zed\outsider
outsider=w32/outsider by zed
seguidamente busca en el sistema las siguientes carpetas:
c:\program files\kmd\my shared folder
c:\program files\kazaa\my shared folder
c:\program files\kazaa lite\my shared folder
c:\programmer\kmd\my shared folder
c:\programmer\kazaa\my shared folder
c:\programmer\kazaa lite\my shared folder
c:\program\kmd\my shared folder
c:\program\kazaa\my shared folder
c:\program\kazaa lite\my shared folder
c:\programme\kmd\my shared folder
c:\programme\kazaa\my shared folder
c:\programme\kazaa lite\my shared folder
c:\programmi\kmd\my shared folder
c:\programmi\kazaa\my shared folder
c:\programmi\kazaa lite\my shared folder
c:\programfiler\kmd\my shared folder
c:\programfiler\kazaa\my shared folder
c:\programfiler\kazaa lite\my shared folder
c:\programas\kmd\my shared folder
c:\programas\kazaa\my shared folder
c:\programas\kazaa lite\my shared folder
c:\archivos de programma\kmd\my shared folder
c:\archivos de programma\kazaa\my shared folder
c:\archivos de programma\kazaa lite\my shared folder
si encuentra alguna carpeta este se copiar? a si mismo como uno de los siguientes archivos de la lista:
johnny english (movie) - full downloader.pif
gladiator (movie) - full downloader.pif
swordfish (movie) - full downloader.pif
msn messenger password stealer.pif
norton antivirus [####] full.exe
hotmail password cracker.pif
jasc paint shop pro 7 (full).pif
screensaver.scr
microsoft office [####] full.exe
donde: [####] es el a?o de la fecha del sistema
el gusano intenta robar informaci?n del sistema y guardarlo en los siguientes archivos:
c:\windows\inetdun32.txt
c:\windows\inetdun32.txt
para luego envi?rselos por email a su creador a la siguiente direcci?n, msctrl32@hotmail.com
tambi?n muestra el siguiente falso mensaje de error:
error starting program
a required .dll file, msvbvm60.dll, was not found.
seguidamente intentar? cerrar todas las ventanas que tengan como titulo registry editor (editor del registro)
finalmente el gusano intentar? finalizar todos los procesos activos de antivirus y firewalls que se encuentran en la siguiente lista:
_avp.exe _avp32.exe ackwin32.exe anti-trojan.exe apvxdwin.exe autodown.exe avconsol.exe ave32.exe avgctrl.exe avkserv.exe avnt.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avpmon.exe avpnt.exe avptc32.exe avpupd.exe avsched32.exe avwin95.exe avwupd32.exe blackd.exe blackice.exe ccapp.exe cfiadmin.exe cfiaudit.exe cfind.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe claw95ct.exe cleaner.exe cleaner3.exe dv95.exe dv95_o.exe dvp95.exe dvp95_0.exe ecengine.exe efinet32.exe esafe.exe espwatch.exe f-agnt95.exe findviru.exe f-prot.exe fprot.exe f-prot95.exe fprot95.exe fp-win.exe frw.exe f-stopw.exe iamapp.exe iamserv.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icmoon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe jed.exe jedi.exe kpf.exe kpfw32.exe lockdown2000.exe lookout.exe luall.exe moolive.exe mpftray.exe n32scan.exe n32scanw.exe navapw32.exe navlu32.exe navnt.exe navsched.exe navw.exe navw32.exe navwnt.exe nisum.exe nmain.exe normist.exe nupgrade.exe nvc95.exe outpost.exe padmin.exe pavcl.exe pavsched.exe pavw.exe pccwin98.exe pcfwallicon.exe persfw.exe rav7.exe rav7win.exe rescue.exe safeweb.exe scan32.exe scan95.exe scanpm.exe scrscan.exe serv95.exe smc.exe sphinx.exe sweep95.exe tbscan.exe tca.exe tds2-98.exe tds2-nt.exe vcontrol.exe vet32.exe vet95.exe vet98.exe vettray.exe vscan40.exe vsecomr.exe vshwin32.exe vsscan40.exe vsstat.exe webscan.exe webscanx.exe wfindv32.exe zonealarm.exe zapro.exe |
