Nombre:Worm/Aimbot.R
Descubierto:02/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:221.480 Bytes
Suma de control MD5:6cc4b5399b9c4963eb5e1b0934514d0a
Versión del VDF:6.31.1.6

 General Método de propagación:
   • Messenger


Alias:
   •  Symantec: W32.Allim
   •  Mcafee: W32/Opanki.worm.gen
   •  Kaspersky: Backdoor.Win32.Aimbot.r
   •  TrendMicro: WORM_OPANKI.Z
   •  VirusBuster: Backdoor.Aimbot.C


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\taskbar.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Search Bar"="c:\windows\taskbar.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Task Update"="taskbar.exec:\windows\taskbar.exe"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger


A:
Todas las entradas en la lista de contactos.
El mensaje enviado tiene el siguiente aspecto:


Propagación por URL
Envía el siguiente enlace:
   • http://www.postyourpicture.com/**********/52311.jpg

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: dns.chil0rd.com
Puerto: 185
Canal: #fate
Apodo: <%aleator%>
Contraseña: deadbeaf

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Iulian Popa el miércoles 3 de agosto de 2005
Descripción actualizada por Iulian Popa el miércoles 7 de septiembre de 2005

Volver . . . .