Nombre:Worm/Small.B.3
Descubierto:03/06/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:119.296 Bytes
Suma de control MD5:58180E0Dd5ff2df69979336c343e32f0
Versión del VDF:6.34.01.182
Versión del IVDF:6.34.01.188 - martes 6 de junio de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\krnl32.dll
   • %directorio donde se ejecuta el programa viral%\photos.exe



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %configuración definida por el usuario%\photo1.jpg
   • %configuración definida por el usuario%\photo2.jpg
   • %configuración definida por el usuario%\photo3.jpg

%SYSDIR%\krnl32.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Small.B.4

%directorio donde se ejecuta el programa viral%\~$run.$$$ Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Small.B.4

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
Además, tiene la capacidad de enviar un mensaje de correo con informaciones acerca del sistema. Es muy probable que el destinatario sea el autor.


De:
El remitente del mensaje de correo es uno de los siguientes:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
El siguiente:
   • %texto en ruso% %fecha actual% %hora actual%



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %texto en ruso%


Archivo adjunto:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


Servidor MX:
No emplea el servidor MX implícito.
Puede conectarse al servidor MX:
   • mail.rambler.ru

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • The Bat!
   • Opera

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • ASPack
   • UPX

Descripción insertada por Andrei Gherman el viernes 9 de junio de 2006
Descripción actualizada por Andrei Gherman el viernes 9 de junio de 2006

Volver . . . .