¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Scano.U
Descubierto:22/06/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:18.084 Bytes
Suma de control MD5:a05bcd12683a646af7b4ff59ce555f7a
Versin del VDF:6.35.00.59
Versin del IVDF:6.35.00.67 - sábado 24 de junio de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.R
   •  Sophos: W32/Areses-F
   •  VirusBuster: I-Worm.Scano.T
   •  Eset: Win32/Scano.U
   •  Bitdefender: Win32.Scano.AM@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\csrss.exe



Se copia a s mismo en un archivo en la siguiente ubicacin:
   • %TEMPDIR%\Message.zip




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://207.46.250.119/g/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://www.microsoft.com/g/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://84.22.161.192/s/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.



Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\services.exe
Ejecuta el fichero con los parmetros siguientes: %WINDIR%\csrss.exe
Empleado para ocultar el proceso en el Administrador de tareas.

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\svchost.exe
Ejecuta el fichero con los parmetros siguientes: %WINDIR%\csrss.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • ????????, ??? ???? ????
   • ?????
   • ??????, ?? ????
   • ??????, ?????? ???!!!
   • ??????! ?????? ?????? ?!
   • ??!
   • ?????
   • Re: ?????? ???!
   • Re: ??????? ???!
   • Re: ?? ????
   • Re: ????? ?? ??? ???????
   • Re: ??? ???????????
   • Re: ??? ???????????



El cuerpo del mensaje:
–  En algunos casos puede estar vaco.
El cuerpo del mensaje de correo es uno de los siguientes:
   • ??????! ? ??????? ??? ??
   • ??????? ? ????????? ??
   • ????? ??? ?????????
   • ????????!!! ??? ????????


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el miércoles 1 de noviembre de 2006
Descripción actualizada por Irina Boldea el jueves 2 de noviembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.