Nombre:Worm/BackNine
Descubierto:09/03/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:20.992 Bytes
Suma de control MD5:000B5aea832ad9e266b0abe8ac0B757e
Versión del VDF:6.38.00.23 - viernes 9 de marzo de 2007
Versión del IVDF:6.38.00.23 - viernes 9 de marzo de 2007

 General Alias:
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Cifrado:
Se crean ficheros nuevos y éstos son versiones cifradas de los ficheros detectados

El directorio siguiente es buscado:
   • %todas las carpetas%

El nombre del fichero del archivo es igual al del fichero original con la extensión de fichero del archivo.

El nombre de fichero del archivo es el siguiente:
   • *.rwg



Crea el siguiente fichero:

%SYSDIR%\RansomWar.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 Correo electrónico Emplea Messaging Application Programming Interface (MAPI) para enviar respuestas a los mensajes almacenados en la bandeja de entrada. Sus características están descritas a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


El diseño del mensaje de correo:



Asunto: You are a very lucky man, read this mail!
Cuerpo del mensaje:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Adjunto:
   • BigCashForYou.exe



El mensaje de correo se ve así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Gherman el martes 15 de mayo de 2007
Descripción actualizada por Andrei Gherman el martes 15 de mayo de 2007

Volver . . . .