Nombre:Worm/Soccer.A.1
Descubierto:19/06/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:39.904 Bytes
Suma de control MD5:18dae171a9bd885fbc83e89af23d0072
Versión del VDF:6.35.00.43
Versión del IVDF:6.35.00.50 - miércoles 21 de junio de 2006
Eurístico:HEUR/Malware.Crypted.PSM

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\msctools.exe



Crea los siguientes ficheros:

– Un fichero que contiene las direcciones de correo recolectadas:
   • %SYSDIR%\cats2.jpg

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\cats.jpg




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://couplesexxx.com/tumbs/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\temps%varios dígitos aleatorios%.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Delf.apo

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%número%"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


El diseño de los mensajes de correo:



De: newsreader@hotmail.com
Asunto: Naked World Cup game set
Cuerpo del mensaje:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Adjunto:
   • soccer_nudist.bmp.exe



De: todaynews@cnn.com
Asunto: Crazy soccer fans
Cuerpo del mensaje:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Adjunto:
   • soccer_pics.jpg.exe



De: kellyjast@hotmail.com
Asunto: Please reply me Tomas
Cuerpo del mensaje:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Adjunto:
   • kelly_nude_imgs.jpg.exe



De: hotnews@cnn.com
Asunto: Soccer fans killed five teens
Cuerpo del mensaje:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Adjunto:
   • soccer_fans.jpg.exe



De: lindasal@gmail.com
Asunto: My tricks for you
Cuerpo del mensaje:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Adjunto:
   • linda_bigtit.gif.exe

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:




 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Finalización de los procesos Listado de los procesos finalizados:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://sextraf.com/ms/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script PHP.


Envía informaciones acerca de:
    • Direcciones de correo electrónico recopiladas

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Victor Tone el lunes 19 de junio de 2006
Descripción actualizada por Andrei Ivanes el miércoles 21 de junio de 2006

Volver . . . .