¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Traxgy.B
Descubierto:30/08/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio-bajo
Fichero esttico:No
Tamao:57.344 Bytes
Versin del IVDF:6.31.01.196 - martes 30 de agosto de 2005

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local
   • Unidades de red mapeadas


Alias:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero daino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %disquetera%:\WINDOWS.EXE
   • %disquetera%:\ghost.bat
   • %todas las carpetas%\%nombre del directorio actual%.exe



Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
Para: %WINDIR%\\system\ Empleando uno de los siguientes nombres:
   • %nmero hexadecimal%.com

Para: %WINDIR%\fonts\ Empleando uno de los siguientes nombres:
   • %nmero hexadecimal%.com

Para: %WINDIR%\\temp\ Empleando uno de los siguientes nombres:
   • %nmero hexadecimal%.com

Para: %WINDIR%\help\ Empleando uno de los siguientes nombres:
   • \%nmero hexadecimal%.com




Crea los siguientes ficheros:

Fichero no malicioso:
   • %todas las carpetas%\desktop.ini

A:\NetHood.htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: VBS/Zapchast.B

%disquetera%:\NetHood.htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: VBS/Zapchast.B

%todas las carpetas%\folder.htt Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: VBS/Zapchast.B

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%nmero hexadecimal%.com
   • TempCom = %WINDIR%\fonts\%nmero hexadecimal%.com
   • TempCom = %WINDIR%\\temp\%nmero hexadecimal%.com
   • TempCom = %WINDIR%\help\%nmero hexadecimal%.com



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Modifica las siguientes claves del registro:

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • fullpath = %configuracin definida por el usuario%
   Nuevo valor:
   • fullpath = dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • HideFileExt = %configuracin definida por el usuario%
   • Hidden = %configuracin definida por el usuario%
   Nuevo valor:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Correo electrnico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las caractersticas estn descritas a continuacin:


De:
La direccin del remitente es la cuenta de Outlook del usuario.


Para:
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • %texto chino%



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %texto chino% Document.exe %texto chino%


Archivo adjunto:
El nombre del fichero adjunto es:
   • Document.exe

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve as:


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Andrei Gherman el viernes 21 de septiembre de 2007
Descripción actualizada por Andrei Gherman el viernes 21 de septiembre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.