Worm/Francette.S - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Francette.S
Descubierto:	02/06/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	177.664 Bytes
Suma de control MD5:	9069d6b59836869be3d96513fb41a8c0
Versión del VDF:	6.34.01.177
Versión del IVDF:	6.34.01.183

General Método de propagación:
   • Red local

Alias:
   • Kaspersky: Net-Worm.Win32.Francette.s
   • TrendMicro: WORM_FRANCETTE.U
   • Eset: Win32/Tumbi.BA worm
   • Bitdefender: Win32.Worm.Francette.S

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Crea el siguiente fichero:

– %SYSDIR%\msguid.dll Contiene un ID único del ordenador infectado.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Microsoft Anyforce = %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea la siguiente brecha de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %ficheros ejecutados% en un puerto TCP aleatorio para funcionar como servidor proxy.
– %ficheros ejecutados% para funcionar como servidor proxy Socks 5,

Servidor contactado:
Las siguientes:
   • http://proxy.binaforce.info/proxy_info/**********
   • ftp.binaforce.**********

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • El tipo de conexión a Internet
    • Puerto abierto
    • ID de la plataforma
    • Informaciones acerca del sistema operativo Windows

Capabilidades de control remoto:
    • Delete file (es)
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Iniciar la rutina de propagación
    • Terminar proceso viral

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Thu, 08 Jun 2006 17:29 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 08 Jun 2006 17:30 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver