¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Kolab.fkt
Descubierto:20/12/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:147.456 Bytes
Suma de control MD5:a630f11ba7b0f365374b05fd1c26d8fc
Versión del IVDF:7.10.02.23 - domingo, 20 de diciembre de 2009

 General Métodos de propagación:
   • Autorun feature (es)
   • Red local
   • Messenger


Alias:
   •  Mcafee: W32/Kolab
   •  Sophos: Troj/Agent-MFV
   •  Panda: W32/Kolabc.AW.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Backdoor.Bot.111901


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\usbdrv.exe
   • \RECYCLER\%CLSID%\usbdrv.exe



Elimina el siguiente fichero:
   • c:\x.bat



Crea los siguientes ficheros:

%WINDIR%\nigzss.txt
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– c:\x.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero. Detectado como: Worm/IrcBot.50




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.whati**********/




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • cmd /c ""c:\x.bat" "


– Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\usbdrv.exe"


– Ejecuta uno de los ficheros siguientes:
   • net stop "Security Center"


– Ejecuta uno de los ficheros siguientes:
   • net1 stop "Security Center"

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Universal Bus device"="usbdrv.exe"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: shell.vir**********.com
Puerto: 9595
Canal: #ms16
Apodo: {I-00-USA-XP-%nombre del ordenador%}

Servidor: v1.virtual-rejectz.com

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 31 de marzo de 2010
Descripción actualizada por Petre Galan el miércoles, 31 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.