Nombre:Worm/TermX.A
Descubierto:14/05/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:186.166 Bytes
Suma de control MD5:09b5dc62a921a88153cd34b08716b479
Versión del VDF:6.38.01.136
Versión del IVDF:6.38.01.142 - martes 15 de mayo de 2007

 General Método de propagación:
   • Messenger


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\svhost32.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://bestwish.info**********
Además, este fichero es ejecutado después de haber sido completamente descargado. En el momento del análisis, ésta era una versión ya modificada del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Task Manager"="%WINDIR%\svhost32.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Google\GoogleToolbarNotifier]
   • "KeepDS"=dword:00000000
   • "ShowTrayIcon"=dword:00000000

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   • "content url"="http://bestwish.info/**********"

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • "content url"="http://bestwish.info/**********"



Modifica las siguientes claves del registro:

La página de inicio de Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Search Page"="http://bestwish.info/**********"
   • "Start Page"="http://bestwish.info/**********"

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Nuevo valor:
   • "DisableConfig"="1"

– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
   Nuevo valor:
   • "(Default)"="http://bestwish.info/**********"

– [HKCU\Software\Microsoft\Search Assistant]
   Nuevo valor:
   • "DefaultSearchURL"="http://bestwish.info/**********"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger
– Windows Messenger


A:
Todas las entradas en la lista de contactos.


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • c’est ma carte de voeux de Noel que j’ai fait seulement pour toi http://bestwish.info/********** ^_^

   • Microsoft donne 2007 copies gratuits de Windows Vista pour 2007 premieres inscriptions : http://bestwish.info/********** >:D< est envoyé par %nombre del usuario actual% pas de virus

   • vote pour notre Miss de beauté aujourd’hui :x " http://bestwish.info/********** :x:x:x:x:x est envoyé par %nombre del usuario actual% pas de virus

   • the only way to clean some online viruses that may lead you into troubles : http://bestwish.info/********** << est envoyé par %nombre del usuario actual% pas de virus

   • Joyeux Noel et Bonne année !!! http://bestwish.info/********** <<

   • l’entrainneur de Chelsea est gravement blessé par Gallad http://bestwish.info/********** est envoyé par %nombre del usuario actual% pas de virus

   • Attention!!! Il y aura un tremblement de terre ce soir : http://bestwish.info/********** est envoyé par %nombre del usuario actual% pas de virus

   • J’ai fait 10 cadeaux pour les 10 premieres personnes qui commentent sur mon site web : http://bestwish.info/********** c0ol !!! est envoyé par %nombre del usuario actual% pas de virus

   • you are virus infected . Use this tool to remove viruses from your PC : http://bestwish.info/********** << est envoyé par %nombre del usuario actual% pas de virus

   • Enculé !!! http://bestwish.info/********** X-(

   • Osama Bin Laden est arreté http://bestwish.info/********** est envoyé par %nombre del usuario actual% pas de virus

   • Creer les bombs hyper forts avec Whisky, Coke et Mentos http://bestwish.info/********** est envoyé par %nombre del usuario actual% pas de virus

   • J'ai gagne au LOTO: http://bestwish.info/********** Viens feter chez moi !!!


El mensaje recibido puede tener la siguiente apariencia:


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Ernest Szocs el lunes 14 de mayo de 2007
Descripción actualizada por Ernest Szocs el martes 15 de mayo de 2007

Volver . . . .