Nombre:Worm/Harwig.C
Descubierto:30/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:101,446 Bytes
Suma de control MD5:070bf77be2f7361d4d52a5a646ae420d
Versión del VDF:6.30.0.222

 General Método de propagación:
   • Messenger


Alias:
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\abcdefg.exe



Crea el siguiente fichero:

%WINDIR%\AST.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/RBot.72262

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Windows Live Messenger


Mensaje
El mensaje enviado tiene el siguiente aspecto:

   • It is you on that picture right?
     Here check it %enlace%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%enlace%
Mientras el wildcard es:
   • http://www.**********database.info/ugly/picture40328.PIF

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso al siguiente dominio está bloqueado:
   • messenger.hotmail.com




El fichero host modificado se verá así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Morphine 1.4 - 2.7

Descripción insertada por Iulia Diaconescu el miércoles 31 de agosto de 2005
Descripción actualizada por Iulia Diaconescu el lunes 19 de septiembre de 2005

Volver . . . .