w32/chod

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/chod

w32.chod@mm, w32/tobecho.a.worm, worm_chod.a, backdoor.win32.vb.aam, w32/nochod@mm

tipo: gusano de e-mail
tama?o: 152,292 bytes (empaquetado con mew)
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 13/03/2005
w32/chod@mm, es un gusano de envi? masivo de e-mail, se difunde a si mismo a trav?s de e-mail, msn messenger e irc. el gusano utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en archivos con las siguientes extensiones .adb, .asp, .cg, .ctt, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .sql, .tbb, .txt, .uin, .vbs, .wab, .xml
el gusano evitara enviarse a si mismo a direcciones que contengan en su nombre las siguientes cadenas de texto:
antivirus avp bitdefender f-pro f-secure mcafee messagelabs microsoft spam symantec caracter?sticas del mensaje de e-mail:
asunto: [variable, puede ser alguno de los siguientes]
warning - you have been infected! your computer may have been infected cuerpo:
your message was undeliverable due to the following reason(s):
your message could not be delivered because the destination server was unreachable within the allowed queue period. the amount of time a message is queued before it is returned depends on local configuration parameters. most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
your original message has been attached.
archivo adjunto: [variable, puede ser uno de los siguientes]
netsky_removal.exe
removal_tool.exe
message.pif
message.scr
-----------------------------
seguidamente se copiara a si mismo dentro de una carpeta que crea con un nombre aleatorio dentro de la carpeta system :
system \[carpeta]\csrss.exe system \[carpeta]\csrss.ini system \[carpeta]\csrss.dat nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica algunas entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\run
csrss= system \[carpeta]\csrss.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
csrss= system \[carpeta]\csrss.exe
hkey_current_user\software\microsoft\windows nt\currentversion\windows
load= system \[carpeta]\csrss.exe
hkey_current_user\software\microsoft\windows nt\currentversion\windows
run= system \[carpeta]\csrss.exe
tambi?n modifica las siguientes entradas en el registro:
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
noadminpage=1
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced
hidden=02, 00, 00, 00
finalmente intentara enviarse a si mismo a todos los contactos v?a el msn messenger, utiliza uno de los siguientes nombres de archivo con la extensi?n .pif o .scr y algunos de los siguientes mensajes:
lol check this out, it freaked me out :s lol! look at this, i cant explain it in words... omg check this out, its just wrong :o rofl!! you have to see this... wtf... you have to see this, its amazing! holy shit you have to see this... :| i just found this on a cd... you wont believe it! :| dude check this out, its awesome! :d some random chick just sent me her picture, check it out ;) haha you have to see this, i almost couldnt believe it! :o nombre de archivo que env?a el gusano, con extensi?n .pif o .scr
naked lesbian twister paris hilton rofl us together picture gross mypic awesome
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo