¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Drefir.E
Descubierto:24/06/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:128.328 Bytes
Suma de control MD5:33be61dcfce0efaf88fda9adda4ddf7c
Versin del IVDF:6.31.00.108 - viernes 24 de junio de 2005

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero daino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\SysDrefIWv2.exe

 Registro Aade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Modifica las siguientes claves del registro:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuevo valor:
   • "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%" = "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%:*:Enabled:%ficheros ejecutados%"

Desactiva el cortafuego de Windows XP:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuevo valor:
   • "Start" = 00000004

 Correo electrnico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las caractersticas estn descritas a continuacin:


De:
La direccin del remitente es la cuenta de Outlook del usuario.


Para:
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

El archivo adjunto es una copia del propio programa malicioso.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: irc.e**********.net
Puerto: 6667

Servidor: eu.u**********.org
Puerto: 6667

Servidor: us.u**********.org
Puerto: 6667

Servidor: irc.d**********.net
Puerto: 6667

Servidor: irc.r**********.net
Puerto: 6667

Servidor: irc.fr.i**********.net
Puerto: 6667

Servidor: irc.i**********.ee
Puerto: 6667

Servidor: random.i**********.de
Puerto: 6667

Servidor: irc.us.i**********.net
Puerto: 6667

Servidor: irc.q**********.org
Puerto: 6667

Servidor: leak.e**********.co.uk
Puerto: 8080
Canal: #irc


 Adems puede efectuar las siguientes operaciones:
    • Enviar mensajes de correo
     Visitar un sitio web

 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://www.google.com/

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 5 de febrero de 2010
Descripción actualizada por Petre Galan el viernes 5 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.