Nombre:Worm/Drefir.E
Descubierto:24/06/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:128.328 Bytes
Suma de control MD5:33be61dcfce0efaf88fda9adda4ddf7c
Versión del IVDF:6.31.00.108 - viernes 24 de junio de 2005

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\SysDrefIWv2.exe

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Modifica las siguientes claves del registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuevo valor:
   • "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%" = "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%:*:Enabled:%ficheros ejecutados%"

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuevo valor:
   • "Start" = 00000004

 Correo electrónico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las características están descritas a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

El archivo adjunto es una copia del propio programa malicioso.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: irc.e**********.net
Puerto: 6667

Servidor: eu.u**********.org
Puerto: 6667

Servidor: us.u**********.org
Puerto: 6667

Servidor: irc.d**********.net
Puerto: 6667

Servidor: irc.r**********.net
Puerto: 6667

Servidor: irc.fr.i**********.net
Puerto: 6667

Servidor: irc.i**********.ee
Puerto: 6667

Servidor: random.i**********.de
Puerto: 6667

Servidor: irc.us.i**********.net
Puerto: 6667

Servidor: irc.q**********.org
Puerto: 6667

Servidor: leak.e**********.co.uk
Puerto: 8080
Canal: #irc


– Además puede efectuar las siguientes operaciones:
    • Enviar mensajes de correo
    • Visitar un sitio web

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.google.com/

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 5 de febrero de 2010
Descripción actualizada por Petre Galan el viernes 5 de febrero de 2010

Volver . . . .