vbs/moon.b

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de vbs/moon.b

vbs/nemite.b@mm, vbs_moon.k,
tipo: gusano
tama?o: 6,880 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.4, registro de virus al: 16/01/2003

vbs/moon.b , es un gusano que llega en un archivo adjunto llamado fotompg.vbs , este es capaz de enviarse a todos los contactos de la libreta de direcciones del outlook, también utiliza el mirc para difundirse.
el mensaje de correo se envia en formato html, incluye código que se ejecuta y abre un sitio web con solo visualizar el mensaje, este aprovecha la vulnerabilidad del activex , seguidamente se procederá a descargar y ejecutar un archivo llamado pics.vbs
caracteristicas del mensaje de email:
asunto : have a good new year
cuerpo : hi, look at this funny photo.......
archivo adjunto: fotompg.vbs
------------------------------------------------------------
cuando el gusano se ejecuta se copia a sí mismo en la carpeta de windows como:
c:\windows\fotompg.vbs
seguidamente el gusano buscará en el registro del sistema la siguiente entrada:
hkey_current_user\software\moon\explorerpf
de no existir, creará dicha entrada y también la siguiente entrada en el registro del sistema para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
explorer=wscript.exe c:\windows\fotompg.vbs
el gusano se envia a todos los contactos de la libreta de direcciones del outlook, el e-mail contiene un exploit que automaticamente ejecuta el archivo adjunto.
finalmente el gusano modifica la página de inicio de internet explorer, para que se abra en una dirección web especifíca, creando así una entrada en el registro del sistema:
hkey_current_user\software\microsoft\internet explorer\main
start page=http://www.kogalxxxxxxx.com/sou/internz/enter3.htm
el gusano también utiliza el mirc para enviarse. si el gusano encuentra al mirc modifica el archivo script.ini , esta modificación permite que el usuario infectado envie el gusano a otras personas que esten utilizando el mismo canal irc que el usuario infectado.
seguidamente el gusano tratará de ejecutar el archivo xxx_adult.exe que se encuentra en la carpeta windows, este es un programa de marcación automática de un servicio web pornográfico que es descargado por la aplicación girls.exe.
además el gusano modifica también las siguientes entradas:
hkey_current_user\software\moon\explorerpf\
hkey_current_user\software\microsoft\windows\currentversion\internet settings\zones\3\1004
hkey_local_machine\system\currentcontrolset\services\class\modem\0000\settings\speakermode_dial
hkey_local_machine\system\currentcontrolset\services\class\modem\0000\settings\speakermode_off
hkey_current_user\remoteaccess\dialui


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo