¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Kolab.fkt
Descubierto:20/12/2009
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:147.456 Bytes
Suma de control MD5:a630f11ba7b0f365374b05fd1c26d8fc
Versin del IVDF:7.10.02.23 - domingo 20 de diciembre de 2009

 General Mtodos de propagacin:
    Autorun feature (es)
   • Red local
    Messenger


Alias:
   •  Mcafee: W32/Kolab
   •  Sophos: Troj/Agent-MFV
   •  Panda: W32/Kolabc.AW.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Backdoor.Bot.111901


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\usbdrv.exe
   • \RECYCLER\%CLSID%\usbdrv.exe



Elimina el siguiente fichero:
   • c:\x.bat



Crea los siguientes ficheros:

%WINDIR%\nigzss.txt
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

c:\x.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero. Detectado como: Worm/IrcBot.50




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://www.whati**********/




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • cmd /c ""c:\x.bat" "


Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\usbdrv.exe"


Ejecuta uno de los ficheros siguientes:
   • net stop "Security Center"


Ejecuta uno de los ficheros siguientes:
   • net1 stop "Security Center"

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Universal Bus device"="usbdrv.exe"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 AIM Messenger
 MSN Messenger
 Yahoo Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: shell.vir**********.com
Puerto: 9595
Canal: #ms16
Apodo: {I-00-USA-XP-%nombre del ordenador%}

Servidor: v1.virtual-rejectz.com

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 31 de marzo de 2010
Descripción actualizada por Petre Galan el miércoles 31 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.