¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/McMaggot.A
Descubierto:04/12/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:449.024 Bytes
Suma de control MD5:0Aa203943d1e264973b2993ca09ef4c3
Versión del IVDF:7.01.00.184 - jueves, 4 de diciembre de 2008

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Ackantta@mm
   •  Mcafee: W32/Xirtem@MM virus !!!
   •  Kaspersky: Trojan-Banker.Win32.Banker.abbi
   •  Grisoft: Downloader.Agent.APQJ
   •  Bitdefender: Win32.Worm.McMaggot.A

Identificado anteriormente como:
   •  TR/Dropper.Gen


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\vxworks.exe



Crea el siguiente fichero:

%SYSDIR%\qnx.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/McMaggot.A

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • Wind River Systems"="c:\windows\\system32\\vxworks.exe



Modifica las siguientes claves del registro:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   Nuevo valor:
   • c:\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es uno de los siguientes:
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com


Asunto:
Uno de los siguientes:
   • Coca Cola is proud to accounce our new Christmas Promotion.
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!



Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • coupon.zip
   • postcard.zip
   • promotion.zip

El adjunto es un archivo que contiene una copia del programa viral.



 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexander Neth el jueves, 4 de diciembre de 2008
Descripción actualizada por Alexander Neth el jueves, 4 de diciembre de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.