Descripción completa

Nombre:	Worm/Womble.D
Descubierto:	12/09/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	83.456 Bytes
Suma de control MD5:	a7eed18c21897e50bbe167b8f438b9af
Versión del VDF:	6.35.01.212
Versión del IVDF:	6.35.01.216 - martes 12 de septiembre de 2006

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Symantec: W32.Womble.A@mm
   • Mcafee: W32/Womble@MM
   • Kaspersky: Email-Worm.Win32.Womble.d
   • F-Secure: Email-Worm.Win32.Womble.d

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%palabras aleatorias%.exe

Crea las siguientes carpetas:
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\free
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx

Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\free Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3 Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\video Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: c:\system32\ Empleando uno de los siguientes nombres:
   • winupdate.exe
   • netupdate.exe
   • winlog.exe
   • winlogin.exe

– Para: %Directorio de redes utilizado comunmente% Empleando uno de los siguientes nombres:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • support.365soft.info/current/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • windows_startup=%SYSDIR%\%palabras aleatorias%.exe

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000004

– [HKLM\SOFTWARE\WinUpload]
   • "bot1.exe"=dword:00000002
   • "bot2.exe"=dword:00000002
   • "l.exe"=dword:00000002
   • "t169.exe"=dword:00000002

– [HKCU\Software\Microsoft\WAB\WAB4]
   • "FirstRun"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "wmf.1.1"=dword:01c6db12
   • "wmf.1.2"=dword:e8fc9740

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe%espacios libres% %SYSDIR%\%palabras aleatorias%.exe"
   • "Userinit"="%SYSDIR%\userinit.exe%espacios libres% ,%SYSDIR%\%palabras aleatorias%.exe"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es la cuenta de Outlook del usuario.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

Asunto:
Uno de los siguientes:
   • !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
      Re:info; RE: pic; read this; Robert; Sex

El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Hi !!!

     %serie de caracteres aleatorios%

     %serie de caracteres aleatorios%
     --

     Best Regards

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

– Empieza por uno de los siguientes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

Y luego una de las siguientes:
   • .jpg
   • .doc
   • .txt

    A veces seguida por una de las siguientes:
   • .pif
   • .exe
   • .zip
   • .pif.zip
   • .exe.zip

El archivo adjunto es una copia del propio programa malicioso.

El mensaje de correo puede tener una de las siguientes formas:

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • support.365soft.info/current/**********
   • support.365soft.info/current/**********
   • support.software602.com/current/**********
   • support.software602.com/current/**********
   • anyproxy.net/current/**********
   • anyproxy.net/current/**********
   • support.enviroweb.org/current/**********
   • support.enviroweb.org/current/**********
   • support.nikontech.com/current/**********
   • support.nikontech.com/current/**********
   • mymail.100hotmail.com/current/**********
   • mymail.100hotmail.com/current/**********
   • server1.mymail.ph/current/**********
   • server1.mymail.ph/current/**********
   • mymail.bokee.com/current/**********
   • mymail.bokee.com/current/**********
   • mail.96520.org/current/**********
   • mail.96520.org/current/**********
   • 211.184.55.7/current/**********
   • 211.184.55.7/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.wwwmail.org/current/**********
   • update.wwwmail.org/current/**********
   • update.mediaroz.com/current/**********
   • update.mediaroz.com/current/**********
   • update.co.tv/current/**********
   • update.co.tv/current/**********
   • www.3btasarim.com/current/**********
   • www.3btasarim.com/current/**********
   • baishui.info/current/**********
   • baishui.info/current/**********
   • jiji.2tw.info/current/**********
   • jiji.2tw.info/current/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
    • Estado actual del programa viral

Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • *.GTLD-SERVERS.net
   • *.lan.tjhsst.edu

Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • www.sun.com/index.html

Objeto mutex:
Crea el siguiente objeto mutex:
   • wmf.mtx.4

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el viernes 15 de septiembre de 2006
Descripción actualizada por Adriana Popa el lunes 18 de septiembre de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas