w32/saros@mm , i-worm.saros.a, w32.saros@mm
tipo: gusano de email
tama?o: 48,514 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 y 5.7 al 03/08/2004 descripción:
w32/saros.a@mm , es un gusano de envi? masivos de e-mail, se envia a si mismo a todas las direcciones de e-mail que encuentre en la libreta de direcciones de microsoft outlook, tambi?n se difunde a trav?s de la red de intercambio de archivos p2p y el irc.
caracter?sticas del mensaje de e-mail:
asunto: microsoft outlook news
cuerpo:
microsoft outlook update / bug fixed - contact: support@microsoft.com
archivo adjunto: msoutlookinternetupdate.exe
-----------------------------------------
cuando el gusano se ejecuta muestra el siguiente mensaje:
microsoft windows update
click yes for update microsoft outlook via e-mail
[ ok ]
seguidamente se copia as? mismo con todos sus componentes en:
system \love-screensaver.scr system \msoutlookinternetupdate.exe system \nonyou.exe system \nstdnrdll32.vbs system \about.hta nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\run\nldr32
default= system \nonyou.exe
hkey_current_user\software\microsoft\windows\currentversion\runonce\wincomp32
default= system \nstdnrdll32.vbs
tambi?n modifica la siguiente entrada en el registro para deshabilitar el bloqueo de archivos .exe en microsoft outlook
hkey_current_user\software\microsoft\office\10.0\outlook\security
level1remove=exe
hkey_current_user\software\microsoft\office\8.0\outlook\security
level1remove=exe
hkey_current_user\software\microsoft\office\9.0\outlook\security
level1remove=exe
seguidamente modifica el archivo mirc.ini que se encuentra dentro de program files \mirc agregandole la siguiente linea:
[rfiles]
n2 = tdll32.dll
luego abre el tdll32.dll y env?a el archivo love-screensaver.cab a otros usuarios mirc.
tambi?n realiza varias copias de si mismo dentro de las siguientes carpetas compartida de los archivos p2p
program files \bearshare\shared\ program files \edonkey2000\incoming\ program files \emule\incoming\ program files \grokster\my grokster\ program files \kazaa\my shared folder\ program files \kazaa lite\my shared folder\ program files \kazaa lite k++\my shared folder\ program files \limewire\shared\ program files \morpheus\my shared folder\ program files \winmx\shared\ program files \tesla\files\ program files \icq\shared folder\
los nombres de los archivos que copia son los siguientes:
50 cent - in da club.mp3.exe anastacia - left outside alone.mp3.exe black eyed peas - hey mama.mp3.exe haiducii - dragostea din tei.mp3.exe lionel richie - just for you.mp3.exe pipponoto.exe raf - in tutti i miei giorni.mp3.exe rosy.exe the rasmus - in the shadows.mp3.exe vanessa carltron - ordinary day.mp3.exe vasco rossi - buoni e cattivi.mp3.exe
finalmente verifica la fecha del sistema, si el d?a es el 11 o 23 de cualquier mes, el gusano cambia la p?gina de inicio del internet explorer para www.gedzac.tk y seguidamente abre en el explorador web el archivo about.hta que se encuentra en system
tambi?n muestra los siguientes dos mensajes:
nonyou
rosy ti amo - saro & rosy forever
[ ok ]
-----------
gedzac group 2004
nonyou.a gedzac labs productions
coded by sarosoft - dedicated to my love rosy
gedzac group 2004 - http://www.gedzac.tk
gedzac
the virus crew
[ ok ] |
