Nombre:Worm/RBo.20480.12.A
Descubierto:05/05/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:20.480 Bytes
Suma de control MD5:0A9b70150A5b4de8895b459776580Dc6
Versión del VDF:7.0.04.017
Versión del IVDF:7.0.04.018

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Mondera.gen


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Descarga un fichero
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\msninbox.exe



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • MSN Messenger Inbox Loader="msninbox.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: nagasaki.japancorporation.**********
Puerto: 9103
Contraseña del servidor: su1c1d3
Canal: #net
Apodo: \00\USA\%serie de caracteres de 10 dígitos aleatorios%
Contraseña: n3t!



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • ID de la plataforma
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Descargar fichero
    • Editar el registro del sistema
    • Ejecutar fichero
    • Salir del canal IRC
    • Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • 127.0.0.1 jayloden.com; 127.0.0.1 www.jayloden.com;
      127.0.0.1 www.spywareinfo.com; 127.0.0.1 spywareinfo.com;
      127.0.0.1 www.spybot.info; 127.0.0.1 spybot.info;
      127.0.0.1 kaspersky.com; 127.0.0.1 kaspersky-labs.com;
      127.0.0.1 www.kaspersky.com; 127.0.0.1 www.majorgeeks.com;
      127.0.0.1 majorgeeks.com; 127.0.0.1 securityresponse.symantec.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.symantec.com;
      127.0.0.1 updates.symantec.com;
      127.0.0.1 liveupdate.symantecliveupdate.com;
      127.0.0.1 liveupdate.symantec.com; 127.0.0.1 customer.symantec.com;
      127.0.0.1 update.symantec.com; 127.0.0.1 www.sophos.com;
      127.0.0.1 sophos.com; 127.0.0.1 www.virustotal.com;
      127.0.0.1 virustotal.com; 127.0.0.1 www.mcafee.com;
      127.0.0.1 mcafee.com; 127.0.0.1 rads.mcafee.com;
      127.0.0.1 mast.mcafee.com; 127.0.0.1 download.mcafee.com;
      127.0.0.1 dispatch.mcafee.com; 127.0.0.1 us.mcafee.com;
      127.0.0.1 www.trendsecure.com; 127.0.0.1 trendsecure.com;
      127.0.0.1 www.viruslist.com; 127.0.0.1 viruslist.com;
      127.0.0.1 www.hijackthis.de; 127.0.0.1 hijackthis.de;
      127.0.0.1 f-secure.com; 127.0.0.1 www.f-secure.com;
      127.0.0.1 Merijn.org; 127.0.0.1 www.Merijn.org; 127.0.0.1 www.avp.com;
      127.0.0.1 avp.com; 127.0.0.1 analysis.seclab.tuwien.ac.at;
      127.0.0.1 www.bleepingcomputer.com; 127.0.0.1 bleepingcomputer.com;
      127.0.0.1 trendmicro.com; 127.0.0.1 www.trendmicro.com;
      127.0.0.1 www.safer-networking.org; 127.0.0.1 safer-networking.org;
      127.0.0.1 grisoft.com; 127.0.0.1 www.grisoft.com




El fichero host modificado se verá así:


 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • Explorer.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el jueves 7 de agosto de 2008
Descripción actualizada por Monica Ghitun el jueves 7 de agosto de 2008

Volver . . . .