¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Womble.D
Descubierto:12/09/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:83.456 Bytes
Suma de control MD5:a7eed18c21897e50bbe167b8f438b9af
Versin del VDF:6.35.01.212
Versin del IVDF:6.35.01.216 - martes 12 de septiembre de 2006

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Mcafee: W32/Womble@MM
   •  Kaspersky: Email-Worm.Win32.Womble.d
   •  F-Secure: Email-Worm.Win32.Womble.d


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\%palabras aleatorias%.exe



Crea las siguientes carpetas:
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\free
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx



Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\free Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3 Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\video Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: c:\system32\ Empleando uno de los siguientes nombres:
   • winupdate.exe
   • netupdate.exe
   • winlog.exe
   • winlogin.exe

Para: %Directorio de redes utilizado comunmente% Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif





Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

La direccin es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

La direccin es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • windows_startup=%SYSDIR%\%palabras aleatorias%.exe



Aade las siguientes claves al registro:

[HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000004

[HKLM\SOFTWARE\WinUpload]
   • "bot1.exe"=dword:00000002
   • "bot2.exe"=dword:00000002
   • "l.exe"=dword:00000002
   • "t169.exe"=dword:00000002

[HKCU\Software\Microsoft\WAB\WAB4]
   • "FirstRun"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "wmf.1.1"=dword:01c6db12
   • "wmf.1.2"=dword:e8fc9740



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe%espacios libres% %SYSDIR%\%palabras aleatorias%.exe"
   • "Userinit"="%SYSDIR%\userinit.exe%espacios libres% ,%SYSDIR%\%palabras aleatorias%.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
      Re:info; RE: pic; read this; Robert; Sex



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Hi !!!
     
     %serie de caracteres aleatorios%
     
     %serie de caracteres aleatorios%
     --
     
     Best Regards


Archivo adjunto:
Los nombres de los ficheros adjuntos estn compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

Y luego una de las siguientes:
   • .jpg
   • .doc
   • .txt

    A veces seguida por una de las siguientes:
   • .pif
   • .exe
   • .zip
   • .pif.zip
   • .exe.zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • support.365soft.info/current/**********
   • support.365soft.info/current/**********
   • support.software602.com/current/**********
   • support.software602.com/current/**********
   • anyproxy.net/current/**********
   • anyproxy.net/current/**********
   • support.enviroweb.org/current/**********
   • support.enviroweb.org/current/**********
   • support.nikontech.com/current/**********
   • support.nikontech.com/current/**********
   • mymail.100hotmail.com/current/**********
   • mymail.100hotmail.com/current/**********
   • server1.mymail.ph/current/**********
   • server1.mymail.ph/current/**********
   • mymail.bokee.com/current/**********
   • mymail.bokee.com/current/**********
   • mail.96520.org/current/**********
   • mail.96520.org/current/**********
   • 211.184.55.7/current/**********
   • 211.184.55.7/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.wwwmail.org/current/**********
   • update.wwwmail.org/current/**********
   • update.mediaroz.com/current/**********
   • update.mediaroz.com/current/**********
   • update.co.tv/current/**********
   • update.co.tv/current/**********
   • www.3btasarim.com/current/**********
   • www.3btasarim.com/current/**********
   • baishui.info/current/**********
   • baishui.info/current/**********
   • jiji.2tw.info/current/**********
   • jiji.2tw.info/current/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogacin HTTP GET en un script PHP.


Enva informaciones acerca de:
     Estado actual del programa viral

 Robo de informaciones Intenta robar las siguientes informaciones:
 Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informaciones diversas Conexin a Internet:
Para verificar la conexin a Internet, se conecta a los siguientes servidores DNS:
   • *.GTLD-SERVERS.net
   • *.lan.tjhsst.edu


Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • www.sun.com/index.html


Objeto mutex:
Crea el siguiente objeto mutex:
   • wmf.mtx.4

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Adriana Popa el viernes 15 de septiembre de 2006
Descripción actualizada por Adriana Popa el lunes 18 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.