Nombre:Worm/Scano.E.2
Descubierto:05/05/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:18.580 Bytes
Suma de control MD5:c4df0B69138dac777b1a907b16bc4f3b
Versión del VDF:6.34.01.41
Versión del IVDF:6.34.01.42 - viernes, 5 de mayo de 2006

 General Método de propagación:
   • Correo electrónico
   • Peer to Peer


Alias:
   •  Symantec: W32.Areses.H@mm
   •  Mcafee: W32/Areses.i@MM
   •  TrendMicro: WORM_ARESES.I
   •  VirusBuster: I-Worm.Scano.I
   •  Eset: Win32/Scano.N
   •  Bitdefender: Win32.Scano.E@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\csrss.exe



Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %TEMPDIR%\Message.zip




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://207.46.250.119/g/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://www.microsoft.com/g/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://84.22.161.192/s/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • Hi, what's up?
   • He, where are you?
   • Hi, drop me a line!!!
   • Hi! Please write to me urgently!
   • Hi! I'm waiting you online today!
   • Will you be online today?
   • When you're gonna answer me?
   • Re: write to me!
   • Re: Call me!
   • Re: Where are you?
   • Re: When you're gonna answer me?
   • Hi!!! How's the mood?
   • Re: How's the mood?



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye

   • Hi, what's up? Will you show up online today?
     Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

   • Hi!
     I'm coming to you tomorrow, ok? When you are going to be home?
     You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...

   • Hi!
     You disappeared again. If you come online, drop me a line, ok?
     Btw, I sent you those docs that you've been looking for. Check them out. Bye!

   • Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!

   • Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.

   • Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!

   • Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!

   • Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!

   • Hi, I found that program you asked for. Find it attached. Bye.

   • Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...

   • What's up! You haven't been writing for a long time
     I got news. I've finally that program you needed
     I'm sending it out. Use it. Bye!

   • Hi, drop me a line today, ok? And see the program I'm sending. Bye!

   • Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.

   • Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • bear
   • donkey
   • download
   • ftp
   • htdocs
   • http
   • icq
   • kazaa
   • lime
   • morpheus
   • mule
   • shar
   • source
   • upload
   • pub

   Al tener éxito, crea los siguientes ficheros:
   • Britney Spears Song text archive.doc; Britney Spears.jpg; Britney
      Spears.mp3; Clone DVD 6; Cloning.doc; Cracks & Warez Archiv; Dark
      Angels new; Dictionary English 2004 - France.doc; DivX 8.0 final; Doom
      3 release 2; E-Book Archive2.rtf; Eminem blowjob.jpg; Eminem full
      album.mp3; Eminem Poster.jpg; Eminem sex xxx.jpg; Eminem Sexy
      archive.doc; Eminem Spears porn.jpg; Eminem.mp3; Full album all.mp3;
      Gimp 1.8 Full with Key; Harry Potter 1-6 book.txt; Harry Potter 5.mpg;
      Harry Potter all e.book.doc; Harry Potter e book.doc; Harry Potter
      game; Harry Potter.doc; Harry Potter and the Sorcerer's Stone game;
      How to hack new.doc; Internet Explorer 9 setup; Kazaa Lite 4.0 new;
      Kazaa new; Keygen 4 all new; Learn Programming 2004.doc; Lightwave 9
      Update; Magix Video Deluxe 5 beta; Matrix 3 .mpg; Microsoft Office
      2003 Crack best; Microsoft WinXP Crack full; MS Service Pack 6; source
      code; Norton Antivirus 2005 beta; Opera 11 free; Partitionsmagic 10
      beta; Porno Screensaver britney; RFC compilation.doc; Ringtones.doc;
      Nostradamus.doc; World Trade Center last video.mpeg; anthrax.doc;
      Osama Bin Laden.jpg; Taliban; Osama bin Laden.mpg; Yellow Pages;
      Ringtones.mp3; Saddam Hussein.jpg; Screensaver2; Serials edition.txt;
      Smashing the stack full.rtf; Star Office 9; Teen Porn 15.jpg; The Sims
      4 beta; Ulead Keygen 2004; Visual Studio Net Crack all; Vista
      review.doc; WinAmp 13 full with sources; Windows Vista Sourcecode.doc;
      Windows 2003 crack; Windows XP crack; WinXP eBook newest.doc; XXX
      hardcore pics.jpg

   Estos ficheros son copias del programa malicioso.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %WINDIR%\csrss.exe

    Los siguientes procesos:
   • services.exe
   • svchost.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el martes, 1 de agosto de 2006
Descripción actualizada por Irina Boldea el miércoles, 2 de agosto de 2006

Volver . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos los derechos reservados.

Mi Cuenta

https:// Esta ventana está cifrada para su seguridad.