Worm/Zhelatin.ZI - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Zhelatin.ZI
Descubierto:	22/07/2008
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Bajo
Fichero estático:	No
Tamaño:	90624 Bytes
Suma de control MD5:	a9d0ed60fec2530a497554de364d5693
Versión del IVDF:	7.00.05.148

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Kaspersky: Email-Worm.Win32.Zhelatin.aep
   • Bitdefender: Dropped:Rootkit.Agent.AITJ

Plataformas / Sistemas operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros

Ficheros Crea los siguientes ficheros:

– %WINDIR%\glok+serv.config Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400


– %WINDIR%\glok+22bd-6274.sys Además, el fichero es ejecutado después de haber sido creado. Detectado como: TR/Rootkit.Gen

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\System\ControlSet001\Services\glok+b89-6227
• %WINDIR%\glok+b89-6227.sys

Envio de mensajes Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
• postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.

Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

Oculta las siguientes:
– Sus propios ficheros
– Sus propias claves del registro

– Los siguientes ficheros:
   • glok+22bd-6274.sys
   • glok+serv.config

– Las siguientes llaves de registro:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000

Método empleado:
    • Hidden from Interrupt Descriptor Table (IDT) (es)

Engancha las siguientes funciones API:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Viktor Graeber el Tue, 22 Jul 2008 08:33 (GMT+1)
Descripción actualizada por Viktor Graeber el Tue, 22 Jul 2008 10:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver