w32/buchon.e

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/buchon.e

w32./buchon.e@mm, buchon.e, win32/buchon.f, worm_buchon.e
tipo: gusano de e-mail
tama?o: 38,432 bytes (comprimido upx)
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 16/03/2005
w32/buchon.e@mm, es un gusano de envi? masivo de e-mail, utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en archivos con las siguientes extensiones .dat, .asp, .php, .cgi, .rtf, .tbb, .dbx, .doc, .htm, html, .txt, .eml, .mdb, .wab e inbox.
caracter?sticas del mensaje de e-mail:
asunto: important! xxx sites found on your computer!
cuerpo:
windows evidence checker has found xxx content on your
computer. you can hide your activities with evidence
cleaner service.
to run evidence cleaner click to quick shortcut
attached.
warning! your copy of evidence cleaner will be expired
after 7 days. today you can register for free.
please check attached instructions for more details.
archivo adjunto: quick shortcut to evidence cleaner length [x] bytes evidence-cleaner-system.com
donde: [x] es un n?mero aleatorio
-----------------------------
el gusano no se instala as? mismo en la computadora atacada, este instala un troyano que act?a como proxy y keylogger
c:\csrss.exe
adem?s modifica la siguiente entrada del registro para poder ejecutar al troyano en cada inicio del sistema:
hkey_current_user\software\microsoft\windows\currenversion\run
windowsupdate service=c:\csrss.exe
el troyano guarda la informaci?n capturada dentro de un archivo llamado csrss.bin el cual lo crea dentro de la unidad c:
finalmente busca carpetas que contienen el siguiente texto en su nombre shar y pub y se copia a si mismo como:
winamp_6_full_emusic-plus.exe
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo