Nombre:W32/Chir.B
Descubierto:30/08/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio-alto
Fichero estático:No
Versión del IVDF:6.31.01.194 - martes 30 de agosto de 2005

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.Chir.B@mm
   •  Mcafee: W32/Chir.b@MM virus
   •  Kaspersky: Email-Worm.Win32.Runouce.b
   •  F-Secure: Email-Worm.Win32.Runouce.b
   •  Sophos: W32/Chir-B
   •  Panda: W32/Chir.B
   •  Grisoft: Win32/Chir.B@mm
   •  Eset: Win32/Chir.B worm
   •  Bitdefender: Win32.Parite.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo

 Detección especial Historial de la versión:
Se ha creado la siguiente actualización del motor para aumentar el grado de detección:

   •  7.09.04.22/8.02.04.22   ( 20/07/2010 )

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\runouce.exe



Crea el siguiente fichero:

– Copia codificada MIME de si mismo
   • Readme.eml

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Runonce"="%SYSDIR%\runouce.exe"

 Infección de ficheros Método:

Este infector busca ficheros para infectar.

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
El siguiente:
   • %el nombre de usuario desde la dirección del remitente% is
      coming!



Archivo adjunto:
El nombre del fichero adjunto es:
   • PP.exe

El archivo adjunto es una copia del propio programa malicioso.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ChineseHacker-2


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • Net Send * My god! Some one killed ChineseHacker-2 Monitor

Descripción insertada por Thomas Wegele el jueves 13 de noviembre de 2008
Descripción actualizada por Andrei Ivanes el jueves 23 de diciembre de 2010

Volver . . . .