Worm/Traxgy.B - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Traxgy.B
Descubierto:	30/08/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio-bajo
Fichero estático:	No
Tamaño:	57.344 Bytes
Versión del IVDF:	6.31.01.196

General Métodos de propagación:
   • Correo electrónico
   • Red local
   • Unidades de red mapeadas

Alias:
   • Kaspersky: Email-Worm.Win32.Rays
   • F-Secure: Email-Worm.Win32.Rays
   • Sophos: W32/Traxg-B
   • Panda: W32/Vinet.A.worm
   • Grisoft: I-Worm/Rays.E
   • Bitdefender: Win32.Rays.H@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • :\WINDOWS.EXE
   • :\ghost.bat
   • %todas las carpetas%\%nombre del directorio actual%.exe

Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %WINDIR%\\system\ Empleando uno de los siguientes nombres:
   • %número hexadecimal%.com

– Para: %WINDIR%\fonts\ Empleando uno de los siguientes nombres:
   • %número hexadecimal%.com

– Para: %WINDIR%\\temp\ Empleando uno de los siguientes nombres:
   • %número hexadecimal%.com

– Para: %WINDIR%\help\ Empleando uno de los siguientes nombres:
   • \%número hexadecimal%.com

Crea los siguientes ficheros:

– Fichero no malicioso:
   • %todas las carpetas%\desktop.ini

– A:\NetHood.htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: VBS/Zapchast.B

– :\NetHood.htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: VBS/Zapchast.B

– %todas las carpetas%\folder.htt Los análisis adicionales indicaron que este fichero es también viral. Detectado como: VBS/Zapchast.B

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%número hexadecimal%.com
   • TempCom = %WINDIR%\fonts\%número hexadecimal%.com
   • TempCom = %WINDIR%\\temp\%número hexadecimal%.com
   • TempCom = %WINDIR%\help\%número hexadecimal%.com

Elimina del registro de Windows el valor de la siguiente clave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP

Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • fullpath = %configuración definida por el usuario%
   Nuevo valor:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • HideFileExt = %configuración definida por el usuario%
   • Hidden = %configuración definida por el usuario%
   Nuevo valor:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

Correo electrónico Emplea Messaging Application Programming Interface (MAPI) para enviar mensajes de correo. Las características están descritas a continuación:

De:
La dirección del remitente es la cuenta de Outlook del usuario.

Para:
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

Asunto:
El siguiente:
   • %texto chino%

El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %texto chino% Document.exe %texto chino%

Archivo adjunto:
El nombre del fichero adjunto es:
   • Document.exe

El archivo adjunto es una copia del propio programa malicioso.

El mensaje de correo se ve así:

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Fri, 21 Sep 2007 10:34 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 21 Sep 2007 11:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back