¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Scano.E.1
Descubierto:05/05/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:18.046 Bytes
Suma de control MD5:66613763574390d288cd6096354f8e9e
Versin del VDF:6.34.01.41
Versin del IVDF:6.34.01.42 - viernes 5 de mayo de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32.Areses.F@mm
   •  Mcafee: W32/Areses.h@MM
   •  TrendMicro: WORM_ARESES.E
   •  Sophos: W32/Scano-E
   •  VirusBuster: I-Worm.Scano.B
   •  Eset: Win32/Scano.E
   •  Bitdefender: Win32.Scano.E@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\csrss.exe



Se copia a s mismo en un archivo en la siguiente ubicacin:
   • %TEMPDIR%\Message.zip




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://207.46.250.119/g/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://www.microsoft.com/g/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://84.22.161.192/s/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • ????????, ??? ???? ????
   • ?????
   • ??????, ?? ????
   • ??????, ?????? ???!!!
   • ??????! ?????? ?????? ?!
   • ??!
   • ?????
   • Re: ?????? ???!
   • Re: ??????? ???!
   • Re: ?? ????
   • Re: ????? ?? ??? ???????
   • Re: ??? ???????????
   • Re: ??? ???????????



El cuerpo del mensaje:
–  En algunos casos puede estar vaco.
El cuerpo del mensaje de correo es uno de los siguientes:
   • ??????! ? ??????? ??? ??
   • ??????? ? ????????? ??
   • ????? ??? ?????????
   • ????????!!! ??? ????????


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Inyectar el cdigo viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %WINDIR%\csrss.exe

    Los siguientes procesos:
   • services.exe
   • svchost.exe


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el lunes 28 de agosto de 2006
Descripción actualizada por Irina Boldea el martes 29 de agosto de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.