Worm/Agent.ax - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Agent.ax
Descubierto:	04/05/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	196.608 Bytes
Suma de control MD5:	3ea03f98dcbdc2497e5f7d9ed9065f1f
Versión del IVDF:	6.38.01.92 - Sat, 05 May 2007 11:55 (GMT+1)

General Método de propagación:
   • Correo electrónico

Alias:
   • Kaspersky: Email-Worm.Win32.Agent.ax
   • F-Secure: Email-Worm.Win32.Agent.ax
   • Grisoft: Agent.PGE
   • Eset: Win32/Agent.NHE

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\%serie de caracteres aleatorios%.exe

Elimina la copia inicial del virus.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %serie de caracteres aleatorios% = %serie de caracteres aleatorios%.exe

Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%]
   • Type = 10
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\%serie de caracteres aleatorios%.exe /service
   • DisplayName = Print Spooler Service
   • ObjectName = LocalSystem

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%\Security]
   • Security = %valores hex%

Correo electrónico Contiene un motor SMTP integrado para enviar correo no solicitado (spam). Establece una conexión directa con el servidor de destinación. Sus características están descritas a continuación:

De:
Direcciones recolectadas del Internet. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o ni siquiera esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones recolectadas del Internet.

Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • **********:447 (TCP)
   • **********:447 (UDP)

Una vez contectado, extraerá una lista suplementaria.
De esta forma obtiene el control remoto.

Capabilidades de control remoto:
    • Enviar mensajes de correo
    • relacionado al spam

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• 558125581

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Wed, 19 Mar 2008 10:53 (GMT+1)
Descripción actualizada por Andrei Gherman el Wed, 19 Mar 2008 11:20 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back