Nombre:Worm/Pushbot.NR.1
Descubierto:13/10/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:75.776 Bytes
Suma de control MD5:bcae72a511b2c005dbd46b96345f2bc2
Versión del IVDF:7.01.06.104 - martes 13 de octubre de 2009

 General Método de propagación:
   • Autorun feature (es)
   • Messenger
   • Peer to Peer


Alias:
   •  Panda: W32/MSNWorm.HI
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Trojan.Generic.2522251


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador
Can be used to lower security settings (es)

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\livemessenger.com
   • \RECYCLER\%CLSID%\usb.exe



Crea los siguientes ficheros:

\RECYCLER\%CLSID%\Desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://browseusers.myspace.com/Browse/**********


– La dirección es la siguiente:
   • http://www.messengermsnimages.net/yah/**********

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheros ejecutados%"="%ficheros
      ejecutados%:*:Enabled:Microsoft Update"

 P2P Busca los siguientes directorios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Al tener éxito, crea los siguientes ficheros:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger


Mensaje

   • Schauen Sie dieses Bild an %ficheros ejecutados%
     Look at this picture %ficheros ejecutados%
     mire este retrato %ficheros ejecutados%
     regarder cette image %ficheros ejecutados%
     guardare quest'immagine %ficheros ejecutados%
     Seen this? :D %ficheros ejecutados%

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: update.xx**********.com
Canal: #!m!
Apodo: [USA|XP|%número%]

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves 11 de marzo de 2010
Descripción actualizada por Petre Galan el lunes 15 de marzo de 2010

Volver . . . .