Descripción completa

Nombre:	Worm/Darby.O
Descubierto:	13/12/2012
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	140.470 Bytes
Suma de control MD5:	c7a286a790fcb6b93264b2cc26522cf3
Versión del VDF:	7.11.53.216

General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Peer to Peer

Alias:
   • Symantec: W32.Darby.B
   • Kaspersky: P2P-Worm.Win32.Darby.o
   • TrendMicro: WORM_DARBY.O
   • Sophos: W32/Darby-O
   • Grisoft: Worm/Darby.S
   • VirusBuster: Worm.P2P.Darby.Q
   • Bitdefender: Win32.Worm.P2P.Darby.O

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
– Para: %SYSDIR%\ Empleando uno de los siguientes nombres:
   • %serie de caracteres aleatorios%.exe
   • %serie de caracteres aleatorios%.bat
   • %serie de caracteres aleatorios%.cmd
   • %serie de caracteres aleatorios%.scr

Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\bZip.exe
   • c:\bardiel.hta

– Un fichero que contiene las direcciones de correo recolectadas:
   • %TEMPDIR%\mail.dat

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • %serie de caracteres aleatorios%=%SYSDIR%\%serie de caracteres aleatorios%

Añade las siguientes claves al registro:

– HKLM\Software\GedzacLABS\Bardiel.d
   • "Parent" = "%SYSDIR%\%serie de caracteres aleatorios%
   • "Sey3" = "%serie de caracteres aleatorios%)%serie de caracteres aleatorios%"
   • "Sey2" = "%serie de caracteres aleatorios%)%serie de caracteres aleatorios%"
   • "Sey1" = "%serie de caracteres aleatorios%)%serie de caracteres aleatorios%"

– HKLM\Software\Microsoft\Active Setup\Installed Components\Bardiel
   • "StubPath" = "%SYSDIR%\%serie de caracteres aleatorios%

– HKLM\SYSTEM\CurrentControlSet\Services\GEDZAC LABS
   • "ImagePath" = "%SYSDIR%\%serie de caracteres aleatorios%"
   • "DisplayName" = "GEDZAC Service"
   • "ObjectName" = "LocalSystem"
   • "ErrorControl" = dword:00000001
   • "Start" = dword:00000002
   • "Description" = "GEDZAC Service for W32.Bardiel.D"
   • "Type" = dword:00000010

Desactivar Regedit y el Administrador de Tareas:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "Shell" = "Explorer.exe %SYSDIR%\%serie de caracteres aleatorios%"

Desactivar Regedit y el Administrador de Tareas:
– HKCR\regfile\shell\open\command
   Valor anterior:
   • "@" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "@" = "GDC"

– HKLM\Software\Microsoft\Windows Scripting Host\Settings
   Valor anterior:
   • "Timeout" = dword:00000000
   Nuevo valor:
   • "Timeout" = dword:00000000

– HKLM\Software\Microsoft\Windows Script Host\Settings
   Valor anterior:
   • "Timeout" = dword:00000000
   Nuevo valor:
   • "Timeout" = dword:00000000

– HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableTaskMgr" = %configuración definida por el usuario%
   • "DisableRegistryTools" = %configuración definida por el usuario%
   Nuevo valor:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableTaskMgr" = %configuración definida por el usuario%
   • "DisableRegistryTools" = %configuración definida por el usuario%
   Nuevo valor:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

– HKCR\exefile\shell\open\command\
   Valor anterior:
   • "@" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "@" = "%SYSDIR%\%serie de caracteres aleatorios%"%1" %*"

– HKCR\batfile\shell\open\command\
   Valor anterior:
   • "@" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "@" = "%SYSDIR%\%serie de caracteres aleatorios%"%1" %*"

– HKCR\comfile\shell\open\command\
   Valor anterior:
   • "@" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "@" = "%SYSDIR%\%serie de caracteres aleatorios%"%1" %*"

– HKCR\piffile\shell\open\command\
   Valor anterior:
   • "@" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "@" = "%SYSDIR%\%serie de caracteres aleatorios%"%1" %*"

– HKCR\scrfile\shell\open\command\
   Valor anterior:
   • "@" = "%configuración definida por el usuario%"
   Nuevo valor:
   • "@" = "%SYSDIR%\%serie de caracteres aleatorios%"%1" %*"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

El diseño de los mensajes de correo:

Asunto: Mail Delivery Return System
Cuerpo del mensaje:
   • La informaci
     n no pudo ser enviada a uno o m
     s destinatarios
Adjunto:
   • ReturnMsg.zip ReturnMsg

Asunto: Hola %el nombre de usuario desde la dirección de correo del destinatario%
Cuerpo del mensaje:
   • Te envio la info que me pediste, responde que tal esta, bye
Adjuntos:
   • videoClip.zip
   • Tienes un Mensage %el nombre de usuario desde la dirección de correo del destinatario%

Asunto: Sabes si te mienten?
Cuerpo del mensaje:
   • El lenguage corporal delata sutilmente la mentira, 5 tips para saber si te estan diciendo la verdad.
Adjuntos:
   • NoMentir.zip
   • NoMentir

Asunto: Manual de Seduccion
Cuerpo del mensaje:
   • Quieres mejorar tu exito con el sexo opuesto, pos echale un ojo a este texto. que tiene utiles consejos
Adjuntos:
   • Seduc.zip
   • Arte de Seducir

Asunto: tienes un Regalo Virtual
Cuerpo del mensaje:
   • Te han enviado un Regalo virtual, esta disponible durante 7 dias, descargalo o entra al link :)
Adjuntos:
   • Virtual0034.zip
   • %el nombre de usuario desde la dirección de correo del destinatario%

Asunto: Gusanito.com
Cuerpo del mensaje:
   • Hay una targeta disponible para ti de parte de un amigo. descargala o entra al link :)
Adjuntos:
   • E-Card.zip
   • Targeta Virtua

Asunto: Fotos en tu email
Cuerpo del mensaje:
   • XXX Todo Vale XXX
Adjuntos:
   • xImages.zip
   • Mirame ;)

Asunto: Que hay detras de un beso
Cuerpo del mensaje:
   • Sabes que significa la forma de besar o que tipos y tecnicas existen, conocelas
Adjuntos:
   • beso.zip
   • Besos

Asunto: Sexo Tantrico
Cuerpo del mensaje:
   • Tantra: antigua disciplina oriental para mejorar el desempe
Adjuntos:
   • Sex_Tantra.zip
   • Sexo Tantrico Images

Asunto: No Adware
Cuerpo del mensaje:
   • Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware
Adjuntos:
   • CwshredderPlus.zip
   • Limpiar Pc

Asunto: Hey
Cuerpo del mensaje:
   • mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente (buena ilusion optica, casi alucinacion)
Adjuntos:
   • IlusionI.zip
   • Imagenes

Asunto: Mira la foto
Cuerpo del mensaje:
   • Mira mi foto ;)
Adjuntos:
   • Photo.zip
   • Mi Album

Asunto: Que significa tu nombre?
Cuerpo del mensaje:
   • Los nombres y los apellidos como toda palabra tienen un significado, el cual ya en la mayoria de veces o no recordamos, tal vez encuentres el significado del tuyo en nuestra base de datos :)
Adjuntos:
   • SigNombre.zip
   • Tu Nombre

Asunto: Eres inteligente? ;)
Cuerpo del mensaje:
   • El Papa de rosa era un empleado en una compa
     ia de seguros, vivia modestamente, tenia una casa mediana, un auto no muy nuevo y un perro, pero lo que el queria m
     s eran sus 3 hijas: Ana, Ane y ...
     Como se llamaba su otra hija?
Adjuntos:
   • RptAcertijos.zip
   • Respuesta

Asunto: Hack Hotmail
Cuerpo del mensaje:
   • Quisiste hackear una cuenta de hotmail alguna vez, entonces prueba esta tecnica, y lo bueno es que no se nesecita ser un Hacker para usarla.
Adjuntos:
   • HackHotmail.zip
   • HackHotmail

Asunto: Respuesta para
Cuerpo del mensaje:
   • La respuesta a su pedido ha sido aprobada, con lo que se hace acreedor de las ventajas y descuentos de nuestro circulo, para mas detalles vea texto el adjunto.
Adjuntos:
   • Respuesta para %el nombre de usuario desde la dirección de correo del destinatario% .zip
   • Admin Page

Asunto: Importante para
Cuerpo del mensaje:
   • Hola, no me conoces, pero te envio algo que te interesara, ojala te sea de utilidad, bye
Adjuntos:
   • _msg.zip
   • Mensage

Asunto: Click en el adjunto y pon audifono :)
Cuerpo del mensaje:
   • Escuchate esta cancion, Carta a Santa Claus III ;)
Adjuntos:
   • FuckSanta.zip
   • Play Song

Asunto: quieres saber cuan psicopata eres?
Cuerpo del mensaje:
   • Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.
Adjuntos:
   • TestRayado.zip
   • Test Aqui

Asunto: Dibujitos (Esta Buenisimo)
Cuerpo del mensaje:
   • Mirate esto ;)
Adjuntos:
   • Dibujitos.zip
   • at the picture

Asunto: Osama Ben Laden el hombre que le declaro la Guerra a Estados Unidos
Cuerpo del mensaje:
   • Que lo indujo a dejar una posible vida de lujos(es millonario), para embarcarse en una guerra santa contra USA, sabias que las familias de Bush y Osama se conocian, enterate de las verdaderas causas de su guerra aqui.
Adjuntos:
   • Osama.zip
   • Osama Web

Asunto: PornStars Show
Cuerpo del mensaje:
   • Mira este scrensaver de las actrices del cine porno
Adjuntos:
   • PornStars.zip
   • PorStars All Access

Asunto: Solo la pura verdad
Cuerpo del mensaje:
   • Asi es la vida :(
     e picture
     Solo la Pura Verdad
Adjunto:
   • ZALIA.zip

Asunto: 16 Fotos de las mejores conejitas de Playboy
Cuerpo del mensaje:
   • Las mejores fotos de PlayBoy de este a o, pasalas ;)
Adjuntos:
   • 16Playboy.zip
   • Planeta PlayBoy

Asunto: Aviso Importante
Cuerpo del mensaje:
   • Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem
Adjuntos:
   • Registro.zip
   • Nuevo Registro

Asunto: Diez mandamientos del Amor y Sexo
Cuerpo del mensaje:
   • Mantener una relacion amorosa saludable y exitante exige mucho esfuerzo y muchas ganas, te damos estas 10 claves
Adjuntos:
   • 10Claves.zip
   • Amor y Sexo

Asunto: Como Saber si le Gustas?
Cuerpo del mensaje:
   • Te mueres por esa persona, pero no sabes si decirle algo, porque capaz no te da bola, con este test puedes descubrir detalles que te indiquen que siente por ti :)
Adjuntos:
   • TestG.zip
   • My Page

Asunto: 100% Ideal
Cuerpo del mensaje:
   • Participa en este rompecabezas, si se pudiera crear a la(el) Chica(o) Ideal escogiendo un rostro de aqui y una silueta de alla, como seria tu pareja Ideal?
Adjuntos:
   • Ideal.zip
   • 100% Ideal

Asunto: Vision del Futuro
Cuerpo del mensaje:
   • TodO hA sIdO Dad0
Adjuntos:
   • TuFuturo.zip
   • Necromancia

Asunto: Que Raro
Cuerpo del mensaje:
   • Miralo tu mismo
Adjuntos:
   • QueRaro.zip
   • Que Raro

Asunto: Mail Delivery Return System
Cuerpo del mensaje:
   • The information could not be a correspondent to one or more addressees.
Adjuntos:
   • ReturnMsg.zip
   • ReturnMsg

Asunto: Hello %el nombre de usuario desde la dirección de correo del destinatario%
Cuerpo del mensaje:
   • I ship You the info that you requested me, responds that such this, bye
Adjuntos:
   • videoClip.zip
   • you Have a Mensage

Asunto: do you Know if they lie you?
Cuerpo del mensaje:
   • The corporal language accuses the lie subtly, 5 tips to know if they are telling you the truth.
Adjuntos:
   • Lie.zip
   • NotLie

Asunto: Manual gives Seduction
Cuerpo del mensaje:
   • you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.
Adjuntos:
   • Seduc.zip
   • Art gives to Seduce

Asunto: %el nombre de usuario desde la dirección de correo del destinatario% you have a Virtual Gift
Cuerpo del mensaje:
   • they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)
Adjuntos:
   • Virtual0034.zip
   • %el nombre de usuario desde la dirección de correo del destinatario%

Asunto: Gusanito.com
Cuerpo del mensaje:
   • there is an available card for you on behalf of a friend. discharge it or enters to the link:)
Adjuntos:
   • EL-Card.zip
   • Virtual Card

Asunto: Pictures in your email
Cuerpo del mensaje:
   • XXX All Voucher XXX
Adjuntos:
   • xImages.zip
   • you Look at me ;

Asunto: That there is behind a kiss
Cuerpo del mensaje:
   • you Know that it means the form gives to kiss or that types and techniques exist, know them
Adjuntos:
   • Kiss.zip
   • Kisses

Asunto: No Adware
Cuerpo del mensaje:
   • are you changed the it paginates beginning he/she gives?, do they leave you windows publicity he/she gives, problems with dialers, troyanos or other adwares, does it prove this program free and do let us put an end to the insensitive one that the Adware is.
Adjuntos:
   • CwshredderPlus.zip
   • to Clean Pc

Asunto: Sex Tantrico
Cuerpo del mensaje:
   • Tantra: ancient discipline oriental to improve the sexual acting. Know it
Adjuntos:
   • Sex_Tantra.zip
   • Sex Tantrico Images

Asunto: Hey %el nombre de usuario desde la dirección de correo del destinatario%
Cuerpo del mensaje:
   • %el nombre de usuario desde la dirección de correo del destinatario% he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)
Adjuntos:
   • IlusionI.zip
   • Images

Asunto: %el nombre de usuario desde la dirección de correo del destinatario% Looks at the picture
Cuerpo del mensaje:
   • Looks at my picture;)
Adjuntos:
   • Ph0t0.zip
   • My Album

Asunto: That means your name?
Cuerpo del mensaje:
   • The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)
Adjuntos:
   • SigName.zip
   • Your Name

Asunto: are you intelligent? ;)
Cuerpo del mensaje:
   • The Father gives Sandra was an employee in an insurance company, lived modestly, tapeworm a medium house, a car very new no and a dog, but what the one wanted more they were its 3 daughters: Ana, Ane and... Like their other daughter was called?
Adjuntos:
   • Riddles
   • Answer

Asunto: Hack Hotmail
Cuerpo del mensaje:
   • you Wanted hackear one it counts gives hotmail at some time, then test this technique, and the good thing is that no you need to be a Hacker to use it
Adjuntos:
   • HackHotmail.zip
   • HackHotmail

Asunto: Answer for %el nombre de usuario desde la dirección de correo del destinatario%
Cuerpo del mensaje:
   • it is This way the life :(
     The answer to its order has been approved, with what becomes accrediting gives the advantages and discounts gives our I circulate, for but you detail sees text the assistant
Adjuntos:
   • %el nombre de usuario desde la dirección de correo del destinatario% .zip
   • Admin Page

Asunto: Important for %username from receiver's email addre
Cuerpo del mensaje:
   • Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye
Adjuntos:
   • _msg.zip
   • Message

Asunto: Click in the assistant and put earphone:)
Cuerpo del mensaje:
   • you Listen to yourself this song, Letter to Santa Claus III ;)
Adjuntos:
   • FuckSanta.zip
   • Play Song

Asunto: do you want to know how psychopath you are?
Cuerpo del mensaje:
   • This is a test used for the I exercise gives states together to recruiting soldiers, it stops in simple words to measure how prone to the madness they are, and you go how released these.
Adjuntos:
   • CrazyTest.zip
   • Test Here

Asunto: Drawings (This Very Good)
Cuerpo del mensaje:
   • you Look at yourself this ;)
Adjuntos:
   • Drawings.zip
   • MORE Drawings

Asunto: Osama Ben Laden the man that I declare the War to United States
Cuerpo del mensaje:
   • That induced it to leave a possible life he gives luxuries, to go aboard in a sacred war against it USES, wise that the families give Bush and Osama they knew each other, find out he gives the true causes he gives their war
Adjuntos:
   • Osama.zip
   • Osama Web

Asunto: PornStars Show
Cuerpo del mensaje:
   • Looks at this scrensaver gives the actresses he/she gives the cinema porn
Adjuntos:
   • PornStars.zip
   • PorStars All Access

Asunto: Alone the pure truth
Cuerpo del mensaje:
   • it is This way the life :(
Adjuntos:
   • e picture
   • Alone the pure truth

Asunto: 16 Pictures give the best doe gives Playboy
Cuerpo del mensaje:
   • The best pictures give PlayBoy gives this year, it passes them ;)
Adjuntos:
   • 16Playboy.zip
   • Planet PlayBoy

Asunto: I Warn Important
Cuerpo del mensaje:
   • %el nombre de usuario desde la dirección de correo del destinatario% due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"
Adjuntos:
   • Registry.zip
   • New Registry

Asunto: Ten commandments give the Love and Sex
Cuerpo del mensaje:
   • to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys
Adjuntos:
   • 10Claves.zip
   • Love and Sex

Asunto: As Knowing if he Likes?
Cuerpo del mensaje:
   • you die for that person, but you don't know if to tell him something, because capable doesn't give you ball, with this test you can discover specificses that indicate you that it feels for you :)
Adjuntos:
   • TestG.zip
   • My Page

Asunto: 100% Ideal
Cuerpo del mensaje:
   • %el nombre de usuario desde la dirección de correo del destinatario% does it Participate in this puzzle, if you could create to the Girl (or Boy) Ideal choosing a face gives here and does a silhouette give there, as serious your Ideal couple?
Adjuntos:
   • Ideal.zip
   • 100% Ideal

Asunto: Vision gives the Future
Cuerpo del mensaje:
   • Everything has Been given
Adjuntos:
   • YourFuture.zip
   • Necromancy

Asunto: YourFuture.zip
Cuerpo del mensaje:
   • you Look at it your same one
Adjuntos:
   • ThatStrange.zip
   • That Strange

Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

El mensaje de correo se ve así:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .htm
   • .txt
   • .php
   • .asp

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • virus; master; persys; perant; abuse; report; panda; symantec; trend;
      avp; kasp; nod; support; admin; foo; iana; messagelab; microsoft; msn;
      anyone; bug; f-secur; free-av; google; help; info; linux; soporte;
      nobody; noone; noreply; rating; root; samples; sopho; spam; unix; upd;
      winrar; winzip

Servidor MX:
Puede conectarse a uno de los servidores MX:
   • mdm@latinmail.com
   • mx1.hotmail.com
   • mdm@hotmail.com
   • correo.viabcp.com

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:   Busca las siguientes carpetas estándar compartidas :
   • appleJuice\incoming
   • eDonkey2000\incoming
   • Gnucleus\Downloads
   • Grokster\My Grokster
   • ICQ\shared files
   • Kazaa\My Shared Folder
   • Kazaa Lite\My Shared Folder
   • LimeWire\Shared
   • morpheus\My Shared Folder
   • Overnet\incoming
   • Shareaza\Downloads
   • Swaptor\Download
   • WinMX\My Shared Folder
   • Tesla\Files
   • XoloX\Downloads
   • Rapigator\Share
   • KMD\My Shared Folder
   • BearShare\Shared
   • Direct Connect\Recieved Files
   • eMule\Incoming
   • Kazaa Lite K++\My Shared Folder
   • My Downloads

   Busca en todas las carpetas implícitas compartidas.

   Al tener éxito, crea los siguientes ficheros:
   • Quick Time Key Crack.exe; Ana Kournikova Sex Video.exe; AVP Antivirus
      Pro Key Crack.exe; Britney Spears Sex Video.exe; Buffy Vampire Slayer
      Movie.exe; Crack Passwords Mail.exe; Cristina Aguilera Sex Video.exe;
      Game Cube Real Emulator.exe; delphi.exe; Hentai Anime Girls Movie.exe;
      Jenifer Lopez Sex Video.exe; Matrix Movie.exe; Mcafee Antivirus Scan
      Crack.exe; Norton Anvirus Key Crack.exe; Panda Antivirus Titanium
      Crack.exe; PS2 PlayStation Simulator.exe; divx pro.exe; Sakura Card
      Captor Movie.exe; Sex Live Simulator.exe; Sex Passwords.exe; Spiderman
      Movie.exe; Start Wars Trilogy Movies.exe; Thalia Sex Video.exe; Winzip
      KeyGenerator Crack.exe; aol cracker.exe; aol password cracker.exe; GTA
      3 Crack.exe; GTA 3 Serial.exe; play station emulator.exe; virtua girl
      - adriana.exe; virtua girl - bailey short skirt.exe; Virtua Girl
      (Full).exe; warcraft 3 crack.exe; warcraft 3 serials.exe;
      counter-strike.exe; divx_pro.exe; HotGirls.exe; hotmail_hack.exe;
      pamela_anderson.exe; serials2000.exe; subseven.exe; VB6.exe;
      VirtualSex.exe; ACDSee 5.5.exe; Age of Empires 2 crack.exe; Animated
      Screen 7.0b.exe; AOL Instant Messenger.exe; AquaNox2 Crack.exe;
      Audiograbber 2.05.exe; BabeFest 2004 ScreenSaver 1.5.exe; Babylon
      3.50b reg_crack.exe; Battlefield1942_bloodpatch.exe;
      Battlefield1942_keygen.exe; DirectX InfoTool.exe; Business Card
      Designer Plus 7.9.exe; Clone CD 5.0.0.3 (crack).exe; Clone CD
      5.0.0.3.exe; Coffee Cup Free zip 7.0b.exe; Cool Edit Pro v2.55.exe;
      Diablo 2 Crack.exe; DirectDVD 5.0.exe; DirectX Buster (all
      versions).exe; DivX Video Bundle 6.5.exe; Download Accelerator Plus
      6.1.exe; DVD Copy Plus v5.0.exe; DVD Region-Free 2.3.exe; FIFA2004
      crack.exe; Final Fantasy VII XP Patch 1.5.exe; Flash MX crack
      (trial).exe; FlashGet 1.5.exe; FreeRAM XP Pro 1.9.exe; GetRight
      5.0a.exe; Global DiVX Player 3.0.exe; Gothic2 licence.exe; Guitar
      Chords Library 5.5.exe; Hitman_2_no_cd_crack.exe; Hot Babes XXX Screen
      Saver.exe; ICQ Pro 2004a.exe; SmartRipper v2.7.exe; ICQ Pro 2004b (new
      beta).exe; iMesh 3.6.exe; iMesh 3.7b (beta).exe; IrfanView 4.5.exe;
      KaZaA Hack 2.5.0.exe; KaZaA Speedup 3.6.exe; Links 2004 Golf game
      (crack).exe; Living Waterfalls 1.3.exe; Mafia_crack.exe; Matrix
      Screensaver 1.5.exe; MediaPlayer Update.exe; mIRC 6.40.exe; mp3Trim
      PRO 2.5.exe; MSN Messenger 5.2.exe; NBA2004_crack.exe; Need 4 Speed
      crack.exe; Nero Burning ROM crack.exe; Netfast 1.8.exe; SmartFTP
      2.0.0.exe; Network Cable e ADSL Speed 2.0.5.exe; NHL 2004 crack.exe;
      Nimo CodecPack (new) 8.0.exe; PalTalk 5.01b.exe; Popup Defender
      6.5.exe; Pop-Up Stopper 3.5.exe; QuickTime_Pro_Crack.exe; Serials 2004
      v.8.0 Full.exe; Space Invaders 1978.exe; Splinter_Cell_Crack.exe;
      Steinberg_WaveLab_5_crack.exe; Trillian 0.85 (free).exe; TweakAll
      3.8.exe; Unreal2_bloodpatch.exe; Unreal2_crack.exe;
      UT2004_bloodpatch.exe; UT2004_keygen.exe; UT2004_no cd (crack).exe;
      UT2004_patch.exe; WarCraft_3_crack.exe; Winamp 3.8.exe; WindowBlinds
      4.0.exe; WinOnCD 4 PE_crack.exe; WinZip 9.0b.exe; Yahoo Messenger
      6.0.exe; Zelda Classic 2.00.exe; Windows XP complete + serial.exe;
      Screen saver christina aguilera.exe; Screen saver christina aguilera
      naked.exe; Visual basic 6.exe; Starcraft serial.exe; Credit Card
      Numbers generator(incl Visa,MasterCard,...).exe; Edonkey2000-Speed me
      up scotty.exe; Hotmail Hacker 2004-Xss Exploit.exe; Kazaa SDK + Xbit
      speedUp for 2.xx.exe; Microsoft KeyGenerator-Allmost all microsoft
      stuff.exe; Netbios Nuker 2004.exe; Security-2004-Update.exe; Stripping
      MP3 dancer+crack.exe; Visual Basic 6.0 Msdn Plugin.exe; Windows Xp
      Exploit.exe; WinRar 3.xx Password Cracker.exe; WinZipped Visual C++
      Tutorial.exe; XNuker 2004 2.93b.exe; cable modem ultility pack.exe;
      macromedia dreamweaver key generator.exe; winamp plugin pack.exe;
      winzip full version key generator.exe; PerAntivirus 8.9.exe; The
      Hacker Antivirus 5.7.exe

   Estos ficheros son copias del programa malicioso.

La carpeta compartida puede verse así:

Infección en la red Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • Andrea; Pamela; Patricia; Cristina; Adriana; Katherine; July; Vanessa;
      Jennifer; Karina; Janeth; Dulce; Bill; Alejandro; Dark; Bracho;
      Torres; Aguilar; Martinez; Lugo; Costa; Velarde; Varela; Helsim;
      Valencia; Mancilla; Braschi; Wong; Chang; Mora; Arana; Alvites; Start;
      Toledo; Flores; Garcia; Orellana; Hoyos; Perez; Campos; Humala;
      Alvarez; Valenzuela; Luque

– El siguiente listado de contraseñas:
   • "123"; "1234"; "12345"; "123456"; "1234567"; "12345678"; "654321";
      "54321"; "111"; "11111"; "111111"; "11111111"; "000000"; "00000000";
      "pass"; "5201314"; "88888888"; "888888"; "passwd"; "password";
      "database"; "test"; "server"; "computer"; "secret"; "oracle";
      "sybase"; "Internet"; "super"; "user"; "manager"; "public"; "private";
      "default"; "1234qwer"; "123qwe"; "abcd"; "abc123"; "123abc"; "abc";
      "123asd"; "dos"; "asdfgh"; "!@; $"; "!@; $%"; "!@; $%^"; "!@; $%^&";
      "!@; $%^&*"; "!@; $%^&*("; "!@; $%^&*()"; "intel"; "KKKKKKK"; "09876"

IRC Propagación:
–Modifica el fichero Mirc.ini

Finalización de los procesos Intenta finalizar los siguientes procesos y eliminar los ficheros correspondientes:
   • avx; adaware; advxdwin; alevir; arr; auto-protect; Avg; avw; ahnsd;
      apvxdwin; anti-trojan; avsched32; avconsol; ackwin32; autodown; alert;
      amon; avmon; antivir; avsynmgr; avnt; avrep32; ants; atcon; atupdater;
      atwatch; autotrace; aplica32; atro55en; aupdate; autoupdate; avrescue;
      agent; avltmain; backweb; blackice; blackd; bd_professional; bidef;
      bidserver; bipcp; bisp; bootwarn; borg2; bs120; buscareg; clrav;
      claw95ct; cfiaudit; cfiadmin; cmgrdian; ctrl; cfind; cfinet; ccapp;
      claw95; cpd; cleanpc; cmon016; cpf9x206; cpfnt206; csinject; csinsm32;
      css1631; cwnb181; cwntdwmo; ccevtmgr; ccpxysvc; dv95; dvp95; defwatch;
      defalert; doors; deputy; dpf; drwatson; drweb32; drwebupw; efinet32;
      espwatch; esafe; efpeadm; etrustcipe; evpn; ecengine; eli; findviru;
      f-agnt95; frw; f-stopw; filemon; f-prot; fch32; fih32; fp-win; fsgk32;
      fnrb32; fsaa; fameh32; fast; fix-it; flowprotector; fp-win_trial;
      fsav; fsm; fwenc; gbmenu; gbpoll; generics; guard; hacktracer; htlog;
      icssuppnt; icload; iamapp; icsupp95; ibma; iomon98; icmo; iface; iams;
      ifw2000; iparmor; iris; isrv95; jed; jammer; kpf; kavlite; kerio;
      luall; lookout; lockdown; lucomserver; ldpromenu; luspt; ldnetmon;
      ldpro; localnet; lsetup; luau; luinit; mpftray; moolive; msconfig;
      monitor; mcmnhdlr; mctool; mcupdate; mcvsrte; mghtml; minilog;
      mcvsshld; mpfservice; mwatch; mcshield; mfw2en; mfweng3; mgavr; mgui;
      monsys; monwow; mrflux; msinfo32; mssmmc32; mu0311ad; mxtask; nav;
      netd32; nod32; nspclean; nmain; nvc95; nisum; nupgrade; per; nwtool16;
      normist; nisserv; nsched32; neowatchlog; nvsvc32; nwservice;
      ntxconfig; ntvdm; npssvc; npscheck; netutils; ndd32; notstart; nc2000;
      ncinst4; netarmor; netinfo; netmon; pav; netspyhunter; netstat; npf;
      nui; nvarch16; nvlaunch; nwinst4; nvapsvc; outpost; offguard;
      ostronet; procexp; pcfwallicon; programauditor; pop3trap; poproxy;
      pcntmon; padmin; pview95; pcc; pqremove; pfwcon; pfwagent; pfwsvc;
      prebind; panixk; pcdsetup; pcip10117_0; pf2; pfwadmin; platin;
      portdetective; ppinupdt; pptbc; ppvstop; procexplorerv1; proport;
      protect; purge; pccntmon; ping; qconsole; qserver; rav; regmon;
      rescue; rapapp; rtvscn95; rulaunch; regedit; regedt32; realmon;
      rshell; stinger; serv95; safeweb; symproxysvc; symtray; sphinx; smc;
      ss3edit; sbserv; swnetsup; sfc; schedapp; setupvameeval;
      setup_flowprotector_us; sgssfw32; shellspyinstall; shn; sofi; spf;
      srwatch; st2; supftrl; supporter5; sweep; sysdoc32; sysedit;
      sharedaccess; tbscan; tds; taumon; tcm; tfak; taskmon; tauscan; tc;
      tgbob; titanin; tracer; trjs; tmntsrv; undoboot; Update; vshwin32;
      vet; vsecomr; vbcmserv; vbcons; vir -help; vptray; vsmain; vsmon;
      vsstat; vettray; vcontrol; vbust; vbwin; vccmserv; vcsetup; vfsetup;
      vnlan300; vnpc3000; vpc; vpfw30s; vscenu6; vsisetup; vswin; vvstat;
      view; wfindv32; wimmun32; wgfe95; webtrap; watchdog; wradmin; wrctrl;
      w32dsm89; whoswatchingme; winrecon; winroute; winsfcm; wsbgate;
      zonealarm; zapro; zap; zcap; zatutor; zonestub; asdf; zlclient;
      zauinst; zonalm2601; taskmgr

Han finalizado los procesos con las siguientes características:
    • Título: %serie de caracteres aleatorios%     Nombre de clase: DirectUIHWND
    • Título: %serie de caracteres aleatorios%     Nombre de clase: RICHEDIT20a
    • Título: %serie de caracteres aleatorios%     Nombre de clase: RICHEDIT
    • Título: %serie de caracteres aleatorios%     Nombre de clase: ate32class

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Irina Boldea el martes, 6 de diciembre de 2005
Descripción actualizada por Andrei Gherman el lunes, 30 de enero de 2006

Volver . . . .

¿Necesita arreglar su PC?

Productos destacados

Más productos

Más populares

Todos los productos

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas

Productos destacados

Más productos

Más populares

Todos los productos

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas