Worm/BackNine - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/BackNine
Descubierto:	09/03/2007
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-alto
Fichero estático:	Sí
Tamaño:	20.992 Bytes
Suma de control MD5:	000B5aea832ad9e266b0abe8ac0B757e
Versión del VDF:	6.38.00.23
Versión del IVDF:	6.38.00.23

General Alias:
   • Kaspersky: Trojan.Win32.Crypt.ab
   • F-Secure: Trojan.Win32.Crypt.ab
   • Bitdefender: Trojan.Ransom.B

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe

Cifrado:
Se crean ficheros nuevos y éstos son versiones cifradas de los ficheros detectados

El directorio siguiente es buscado:
   • %todas las carpetas%

El nombre del fichero del archivo es igual al del fichero original con la extensión de fichero del archivo.

El nombre de fichero del archivo es el siguiente:
   • *.rwg

Crea el siguiente fichero:

– %SYSDIR%\RansomWar.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)

      RansomWar by [WarGame,eof]

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

Correo electrónico Emplea Messaging Application Programming Interface (MAPI) para enviar respuestas a los mensajes almacenados en la bandeja de entrada. Sus características están descritas a continuación:

De:
La dirección del remitente es la cuenta de Outlook del usuario.

El diseño del mensaje de correo:

Asunto: You are a very lucky man, read this mail!
Cuerpo del mensaje:
• Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Adjunto:
• BigCashForYou.exe

El mensaje de correo se ve así:

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 15 May 2007 15:08 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 15 May 2007 15:56 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver