¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Dorkbot.A.83
Descubierto:16/05/2011
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:92.842 Bytes
Suma de control MD5:191d9416f30f2f38c9467d71e53676a6
Versin del VDF:7.11.08.23 - lunes 16 de mayo de 2011
Versin del IVDF:7.11.08.23 - lunes 16 de mayo de 2011

 General Mtodos de propagacin:
    Funcin de autoejecucin
    Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.bd
   •  F-Secure: Trojan.Generic.KD.223028
   •  Bitdefender: Trojan.Generic.KD.223028
     GData: Trojan.Generic.KD.223028


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Roba informaciones
   • Emplea vulnerabilidades de software
CVE-2007-1204
MS07-019

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\Niueur.exe
   • %disquetera%\RECYCLER\Niueur.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\Niueur.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Niueur"="%HOME%\Application Data\Niueur.exe"



Modifica las siguientes claves del registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Nuevo valor:
   • "WMAFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithProgids]
   Nuevo valor:
   • "mp3file"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rtf\OpenWithProgids]
   Nuevo valor:
   • "rtffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpeg\OpenWithProgids]
   Nuevo valor:
   • "jpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tiff\OpenWithProgids]
   Nuevo valor:
   • "TIFImage.Document"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpe\OpenWithProgids]
   Nuevo valor:
   • "jpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmv\OpenWithProgids]
   Nuevo valor:
   • "WMVFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wpl\OpenWithProgids]
   Nuevo valor:
   • "WPLFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpg\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .txt\OpenWithProgids]
   Nuevo valor:
   • "txtfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m3u\OpenWithProgids]
   Nuevo valor:
   • "m3ufile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Nuevo valor:
   • "avifile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpv2\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .png\OpenWithProgids]
   Nuevo valor:
   • "pngfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wav\OpenWithProgids]
   Nuevo valor:
   • "soundrec"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ivf\OpenWithProgids]
   Nuevo valor:
   • "IVFfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .css\OpenWithProgids]
   Nuevo valor:
   • "CSSfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xml\OpenWithProgids]
   Nuevo valor:
   • "xmlfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wm\OpenWithProgids]
   Nuevo valor:
   • "ASFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tif\OpenWithProgids]
   Nuevo valor:
   • "TIFImage.Document"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asf\OpenWithProgids]
   Nuevo valor:
   • "ASFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmx\OpenWithProgids]
   Nuevo valor:
   • "ASXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpg\OpenWithProgids]
   Nuevo valor:
   • "jpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .doc\OpenWithProgids]
   Nuevo valor:
   • "WordPad.Document.1"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2v\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Nuevo valor:
   • "AIFFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jfif\OpenWithProgids]
   Nuevo valor:
   • "pjpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ico\OpenWithProgids]
   Nuevo valor:
   • "icofile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpeg\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .snd\OpenWithProgids]
   Nuevo valor:
   • "AUFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aifc\OpenWithProgids]
   Nuevo valor:
   • "AIFFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmf\OpenWithProgids]
   Nuevo valor:
   • "wmffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dvr-ms\OpenWithProgids]
   Nuevo valor:
   • "WMP.DVR-MSFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .gif\OpenWithProgids]
   Nuevo valor:
   • "giffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wvx\OpenWithProgids]
   Nuevo valor:
   • "WVXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .midi\OpenWithProgids]
   Nuevo valor:
   • "midfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .au\OpenWithProgids]
   Nuevo valor:
   • "AUFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wax\OpenWithProgids]
   Nuevo valor:
   • "WAXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aiff\OpenWithProgids]
   Nuevo valor:
   • "AIFFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mid\OpenWithProgids]
   Nuevo valor:
   • "midfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   Nuevo valor:
   • "htmlfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .bmp\OpenWithProgids]
   Nuevo valor:
   • "Paint.Picture"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Nuevo valor:
   • "midfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xsl\OpenWithProgids]
   Nuevo valor:
   • "xslfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpa\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asx\OpenWithProgids]
   Nuevo valor:
   • "ASXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   Nuevo valor:
   • "htmlfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Nuevo valor:
   • "CompressedFolder"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Nuevo valor:
   • "wrifile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Nuevo valor:
   • "emffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dib\OpenWithProgids]
   Nuevo valor:
   • "Paint.Picture"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2\OpenWithProgids]
   Nuevo valor:
   • "mpegfile"=""

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 Windows Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: ng.mar**********.com
Puerto: 3800

Servidor: ng.the**********.com
Puerto: 3800

Servidor: ng.gra**********.com
Puerto: 3800

Servidor: ng.lig**********.com
Puerto: 3800

Servidor: ng.coa**********.com
Puerto: 3800

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas tipeadas en los campos de contraseas

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • *officebanking.cl/*login.asp*; *secure.logmein.*/*logincheck*;
      *megaupload.*/*login; *fileserve.*/login*; *twitter.com/sessions;
      *.alertpay.*/*login.aspx; *.moneybookers.*/*login.pl;
      *runescape*/*weblogin*; *dyndns*/account*; *no-ip*/login*;
      *steampowered*/login*; *hackforums.*/member.php;
      *facebook.*/login.php*; *login.yahoo.*/*login*;
      *login.live.*/*post.srf*; *gmx.*/*FormLogin*; *fastmail.*/mail/*;
      *bigstring.*/*index.php*; *screenname.aol.*/login.psp*;
      *aol.*/*login.psp*; *google.*/*ServiceLoginAuth*;
      *paypal.*/webscr?cmd=_login-submit*

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • csrss.exe



Se inyecta como un hilo de ejecucin remoto en un proceso.

Se inserta en todos los procesos.


 Informaciones diversas Accede a recursos de Internet:
   • http://api.wip**********.com/


Objeto mutex:
Crea los siguientes objetos mutex:
   • djQPssJO4SAQzkgw
   • t2f-Mutex

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 5 de julio de 2011
Descripción actualizada por Petre Galan el martes 5 de julio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.