| | ![]() | | Los gusanos no son azules | ![]() |
| |
Ataca virus, W32/Palyh@MM.
AP © Derechos Reservados |
WORM_BLUEWORM.F
| Los gusanos no son azules. WORM_BLUEWORM.F
| | |
10-09-2004 | Trend Micro
Resumen:
WORM_BLUEWORM.F es un gusano de Internet residente en memoria, que se propaga por correo electrónico y a través de los recursos compartidos de las redes. Al infectar una máquina, borra entradas del registro y archivos relacionados con una serie de programas antivirus, e incluso termina ciertos procesos de la memoria que se relacionan con aplicaciones de seguridad antivirus. Actualmente este gusano se propaga libremente e infecta sistemas con Windows 95, 98, ME, NT, 2000 y XP.
Detalles:
Después de ejecutarse, BLUEWORM.F deposita varias copias de sí mismo en la carpeta del sistema de Windows, usando algunos de los 10 diferentes nombres de archivo que tiene programados:
- Connection.exe
- Downloading.DVD________________________________________.exe
- File-04-Music.DVD_______________________________________.scr
- moderater.baT
- movie009.pif
- newvideo977.DVD_________________________________________.scr
- reactive_group.bAt
- SETDEBUGm.exe
- SundTrack01.CD__________________________________________.exe
- The_Members.BaT
(Los espacios entre el nombre y la extensión pretenden esconder a los usuarios la segunda extensión de los archivos ejecutables).
Luego de hacer esas copias, crea también una carpeta a la que llama %Windows%\VOLUME (donde %Windows% es la ruta en la que se ha instalado Windows, normalmente C:\Windows\) y en ella deposita otra copia, con uno de los nombres utilizados en los archivos anteriores. También deposita otra copia llamada Media Player.exe, en el directorio %Program Files%\Internet Explorer\. Algunas de las copias que se mencionan arriba son archivos comprimidos en formato .ZIP.
Para preparar su rutina de envío masivo de mensajes de correo electrónico, BLUEWORM.F copia y registra el archivo OSSMTP.DLL en la carpeta del sistema de Windows, junto a la siguiente lista de archivos inofensivos:
-about.txt
- About_BlackWorm.C.txt
- Music09.rm
- Special.rm
- Vide01.jpg
El archivo About_BlackWorm.C.txt contiene el siguiente texto:
' my MS gay i got a bill to pay n i wonder wut to say but ll i know is wut i know billy bo! aint got no mo shyt to do from this day GoOd ByE MicroGates Made by MyLife '
Los archivos about.txt, Music09.rm y Special.rm contienen un texto diferente, que es el siguiente:
Free download music go to
http://www.freeal.com
====================
Free new movis go to
http://www.newamovies.net
Finalmente, el archivo Vide01.jpg es una imagen para adultos.
Al instalarse el código malicioso en el sistema, crea entradas en el registro que le permiten ejecutarse en cada inicio de Windows. | | |
| |
AP © Derechos Reservados |
asd
BLUEWORM.F se propaga enviando una copia de sí mismo por correo electrónico a la lista de direcciones electrónicas que encuentra en las aplicaciones de mensajería de Yahoo y MSN, así como en los archivos con formato HTM y DBX que encuentra en el disco duro.
El mensaje de correo electrónico en el que llega el gusano contiene los siguientes detalles:
De:
- admin@newmovies.com
- fack_back06@mail.com
- gustes@msn.com
- hot_woman2362@freevideos.net
- King_sexy@hotmal.com
- linda200@gmail.com
- lost_love705@yahoo.com
- sandra@oxygen.com
- thomas_gay6@iopus.com
- user377@worldsex.com
- Bad Love
- Binnn MT
- Genius
- Lola Ashton
- Ralph
- Sara GL
- spoofed_names
- Sweet Women
- The Moon
- Thomas
Asunto/Cuerpo del Mensaje: (alguno de los siguientes)
- For all Members repit the reactive one time.
- Hello
- Important
- Please reactive now
- Please reactive now.
- Please Read
- reactive now
- Thank you
- Thanks
Archivo Adjunto: (El nombre de uno de los archivos que deposita durante la infección.)
Para propagarse en las redes, busca también en la red local las unidades compartidas con permiso de escritura y realiza en cada una de ellas una nueva copia de sí mismo, usando el nombre GOOD MUSIC.SCR.
Desactivación de productos antivirus:
En el proceso de infección de una computadora, el gusano busca en el registro las entradas que contienen los siguientes textos, y las borra:
- _Hazafibb
- ccApp
- defwatch
- erthgdr
- Explorer
- JavaVM
- KasperskyAv
- McAfeeVirusScanService
- MCAgentExe
- McRegWiz
- MCUpdateExe
- McVsRte
- msgsvr32
- NAV Agent
- Norton Antivirus AV
- NPROTECT
- PCCClient.exe
- pccguide.exe
- PCCIOMON.exe
- PCClient.exe
- PccPfw
- reg_key
- rtvscn95
- ScriptBlocking
- Sentry
- Services
- ssate.exe
- SSDPSRV
- system.
- Taskmon
- Traybar
- VirusScan Online
- vptray
- VSOCheckTask
- wersds.exe
- win_upd.exe
- Windows Services Host
- Windows Update
- winupd.exe
- winupdt
Asimismo, intenta borrar del disco duro, si los encuentra, una serie de archivos, todos ellos relacionados con las aplicaciones de seguridad antivirus de Hyper Technologies, Symantec, McAfee, y Trend Micro.
- %Program Files%\HyperTechnologies\Deep Freeze\*.exe
- %Program Files%\Norton AntiVirus\*.exe
- %Program Files%\McAfee\McAfee VirusScan\Vso\*.*
- %Program Files%\McAfee\McAfee VirusScan\Vso\*.*
- %Program Files%\McAfee\McAfee VirusScan\Vs\*.*
- %Program Files%\Trend Micro\PC-cillin 2002\*.exe
- %Program Files%\Trend Micro\PC-cillin 2003\*.exe
- %Program Files%\Trend Micro\Internet Security\*.exe
- %Program Files%\NavNT\*.exe
WORM_BLUEWORM.F es detectado y eliminado por el patrón de virus de Trend Micro número 2.171.05 ó superiores. Otros usuarios de Internet, pueden detectar este virus y miles de gusanos, troyanos y otros códigos maliciosos, usando HouseCall el rastreador de virus gratuito en línea de Trend Micro, al que se puede acceder desde: http://housecall.trendmicro.com/.
Para mayores detalles sobre los métodos para eliminar el gusano y sus variantes de sistemas infectados, por favor consulte la siguiente liga:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BLUEWORM.F
| | |
|
| | | ![]() | | | Otros Artículos | ![]() |
| 1. WORM_SASSER.B | | 2. WORM_NETSKY.P | | 3. HTML_NETSKY.P | | 4. PE_ZAFI.B | | 5. WORM_SASSER.E | | 6. WORM_NETSKY.D | | 7. WORM_KORGO.R | | 8. JAVA_BYTEVER.A | | 9. WORM_MYDOOM.M | | 10. TROJ_AGENT.EG |
|