Nombre:Worm/Traxgy.B
Descubierto:30/08/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:57.344 Bytes
Versión del IVDF:6.31.01.196 - martes 30 de agosto de 2005

 General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Unidades de red mapeadas


Alias:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %disquetera%:\WINDOWS.EXE
   • %disquetera%:\ghost.bat
   • %todas las carpetas%\%nombre del directorio actual%.exe



Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %WINDIR%\\system\ Empleando uno de los siguientes nombres:
   • %número hexadecimal%.com

– Para: %WINDIR%\fonts\ Empleando uno de los siguientes nombres:
   • %número hexadecimal%.com

– Para: %WINDIR%\\temp\ Empleando uno de los siguientes nombres:
   • %número hexadecimal%.com

– Para: %WINDIR%\help\ Empleando uno de los siguientes nombres:
   • \%número hexadecimal%.com




Crea los siguientes ficheros:

– Fichero no malicioso:
   • %todas las carpetas%\desktop.ini

– A:\NetHood.htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: VBS/Zapchast.B

%disquetera%:\NetHood.htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: VBS/Zapchast.B

%todas las carpetas%\folder.htt Los análisis adicionales indicaron que este fichero es también viral. Detectado como: VBS/Zapchast.B

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%número hexadecimal%.com
   • TempCom = %WINDIR%\fonts\%número hexadecimal%.com
   • TempCom = %WINDIR%\\temp\%número hexadecimal%.com
   • TempCom = %WINDIR%\help\%número hexadecimal%.com



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • fullpath = %configuración definida por el usuario%
   Nuevo valor:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • HideFileExt = %configuración definida por el usuario%
   • Hidden = %configuración definida por el usuario%
   Nuevo valor:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Correo electrónico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las características están descritas a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • %texto chino%



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %texto chino% Document.exe %texto chino%


Archivo adjunto:
El nombre del fichero adjunto es:
   • Document.exe

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Andrei Gherman el viernes 21 de septiembre de 2007
Descripción actualizada por Andrei Gherman el viernes 21 de septiembre de 2007

Volver . . . .