¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Womble.D
Descubierto:12/09/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:83.456 Bytes
Suma de control MD5:a7eed18c21897e50bbe167b8f438b9af
Versión del VDF:6.35.01.212
Versión del IVDF:6.35.01.216 - martes, 12 de septiembre de 2006

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Mcafee: W32/Womble@MM
   •  Kaspersky: Email-Worm.Win32.Womble.d
   •  F-Secure: Email-Worm.Win32.Womble.d


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%palabras aleatorias%.exe



Crea las siguientes carpetas:
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\free
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx



Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\free Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3 Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\video Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: c:\system32\ Empleando uno de los siguientes nombres:
   • winupdate.exe
   • netupdate.exe
   • winlog.exe
   • winlogin.exe

– Para: %Directorio de redes utilizado comunmente% Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif





Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • windows_startup=%SYSDIR%\%palabras aleatorias%.exe



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000004

– [HKLM\SOFTWARE\WinUpload]
   • "bot1.exe"=dword:00000002
   • "bot2.exe"=dword:00000002
   • "l.exe"=dword:00000002
   • "t169.exe"=dword:00000002

– [HKCU\Software\Microsoft\WAB\WAB4]
   • "FirstRun"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "wmf.1.1"=dword:01c6db12
   • "wmf.1.2"=dword:e8fc9740



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe%espacios libres% %SYSDIR%\%palabras aleatorias%.exe"
   • "Userinit"="%SYSDIR%\userinit.exe%espacios libres% ,%SYSDIR%\%palabras aleatorias%.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
      Re:info; RE: pic; read this; Robert; Sex



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Hi !!!
     
     %serie de caracteres aleatorios%
     
     %serie de caracteres aleatorios%
     --
     
     Best Regards


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

Y luego una de las siguientes:
   • .jpg
   • .doc
   • .txt

    A veces seguida por una de las siguientes:
   • .pif
   • .exe
   • .zip
   • .pif.zip
   • .exe.zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:



 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • support.365soft.info/current/**********
   • support.365soft.info/current/**********
   • support.software602.com/current/**********
   • support.software602.com/current/**********
   • anyproxy.net/current/**********
   • anyproxy.net/current/**********
   • support.enviroweb.org/current/**********
   • support.enviroweb.org/current/**********
   • support.nikontech.com/current/**********
   • support.nikontech.com/current/**********
   • mymail.100hotmail.com/current/**********
   • mymail.100hotmail.com/current/**********
   • server1.mymail.ph/current/**********
   • server1.mymail.ph/current/**********
   • mymail.bokee.com/current/**********
   • mymail.bokee.com/current/**********
   • mail.96520.org/current/**********
   • mail.96520.org/current/**********
   • 211.184.55.7/current/**********
   • 211.184.55.7/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.wwwmail.org/current/**********
   • update.wwwmail.org/current/**********
   • update.mediaroz.com/current/**********
   • update.mediaroz.com/current/**********
   • update.co.tv/current/**********
   • update.co.tv/current/**********
   • www.3btasarim.com/current/**********
   • www.3btasarim.com/current/**********
   • baishui.info/current/**********
   • baishui.info/current/**********
   • jiji.2tw.info/current/**********
   • jiji.2tw.info/current/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral

 Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • *.GTLD-SERVERS.net
   • *.lan.tjhsst.edu


Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • www.sun.com/index.html


Objeto mutex:
Crea el siguiente objeto mutex:
   • wmf.mtx.4

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el viernes, 15 de septiembre de 2006
Descripción actualizada por Adriana Popa el lunes, 18 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.