w32/derdero.e

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/derdero.e

w32. derdero.e@mm
tipo: gusano de e-mail
tama?o: 27,136 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 24/02/2005
w32/derdero.e@mm , es un gusano que se propaga v?a e-mail utilizando su propio motor smtp . el gusano busca direcciones de e-mail en la libreta de direcciones de windows. infecta todos los archivos de extensi?n .exe que encuentre en la unidad c:
el gusano evita enviarse a direcciones que tengan los siguientes textos en su contenido:
@symant @panda @avp @microso @msn @sopho @mm @norman @norton @norep @fsecure @hotmail @gmai @vir postmaster root abuse @sec .gov sarclist sophos support help sarc. sourcef @sf.net listserv sample secur caffe yaho mail unix linux test virus antivir caracter?sticas del mensaje de e-mail:
asunto: [puede ser alguno de los siguientes]
urgent information hackers on the loose dangerous virus info cnn: 1000s of pcs hacked you may be at risk to danger virus outbreak cnn: virus released, millions of computers infected millions of pcs hacked! illegal viruses on the loose cnn: virus outbreak! mydoom returns symantec: new ahker strain released cuerpo: [alguno de los siguientes]
thousands of pcs were hacked this week; see the attached document for details. viruses are quickly spreading throughout the wild, and you may be infected. see the attached document for details. a virus outbreak was reported today. run the attached patch to help protect yourself.a firewall may be of use due to the recent hacking outbreak, read the attached document. over 5000 computers were recently hacked today. to help protect yourself, read the attached file. here, read the attached document to protect yourself from hackers. =) many computers were compromised by a malicious user. to protect your computer, read the document. there has been a recent outbreak of viruses, read the attached document. another ahker variant has been released. run the attached file to protect yourself archivo adjunto: [alguno de los siguientes]
fixvirus detroitfix spybotpatch patch information howto antivir firewall_tips ahker_fix fixblast symanpatch antihack firewall hackeralert utiliza las siguientes extensiones:
.exe .zip .pif .doc.exe .cmd .txt.exe .scr .wpd.exe .txt.scr .cpl .com .doc.cpl .doc.txt .fix.exe --------------------------
cuando el gusano se ejecuta muestra un falso mensaje de error:
javascript error
critical javascript error in line 3: list index out of bounds
seguidamente se copia a s? mismo con todos sus componentes dentro de:
system \jsdbgman.exe system \jslock.dat system \jsdbgz.dll system \jsdbge.dll system \hall.dll windir \jsdbgjs.zip nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
sobrescribe los archivos
system \hall.dll system \ntoskrnl.exe dichos archivos pertenecen a windows, la infecci?n de dicho archivo puede causar que windows falle y no pueda reiniciar correctamente.
tambi?n modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\runservices
jvascript debugging service= system \ jsdbgman.exe
intenta copiarse a si mismo en las carpetas que contenga el texto shar en su nombre:
netsky source code.zip[espacios en blanco].exe windows server 2003 sp2.rar[espacios en blanco].com internet security for idiots.ebook.pdf[espacios en blanco].scr windows xp sp3 (virus scanned)[espacios en blanco].exe pamela anderson full video.mpg[espacios en blanco].scr internet explorer 6 to 7 upgrade.exe how to hack websites.txt[espacios en blanco].pif norton internet security 2006.zip[espacios en blanco].scr norton antivirus 2006 (with crack).iso[espacios en blanco].exe hacking for dummies.pdf[espacios en blanco].cpl windows xp sp2 working activation crack.rar[espacios en blanco].exe kazaa lite 2005 edition (adware free).rar[espacios en blanco].pif halflife 2 and counterstrike steam crack.exe porn passwords.txt[espacios en blanco].exe hot anal penetration.dvd[espacios en blanco].scr exeem lite new filesharing program.zip[espacios en blanco].cmd virus writing in visual basic.txt[espacios en blanco].cpl dvd xcopy pro (virus scanned).exe seguidamente realiza las siguientes acciones:
intenta finalizar todos los procesos activos que pertenecen a programas de seguridad y antivirus. cierra el administrador de tareas si se encuentra abierto. tambi?n crea los siguientes mutex:
admmoodownjkis003 (s)(k)(y)(n)(e)(t) ____--->>>>u<<<<--____ netdy_mutex_psycho _-=ooosokoyonoeotoo=-_ syncmutex_usukuyunueutuu syncmutex_usukuyunueutu protect_usukuyunueutu_mutex 8.98458e+49 _-ooaxx|-+s+-+k+-+y+-+n+-+e+-+t+-|xxkoo-_ _-oo]xx|-s-k-y-n-e-t-|xx[oo-_ bgl_*l*o*o*s*e* rabbo_mutex rabbo skynet_avp ko[skynet.cz]systemsmutex mi[skynet.cz]systemsmutex netsky av guard lk[skynet.cz]systemsmutex [skynet.cz]systemsmutex admskynetjkis003 skynet-sasser s-k-y-n-e-t--a-n-t-i-v-i-r-u-s-t-e-a-m muxxxxtenyksdesignedasthefollowerofskynet-d jobaka3 jobaka3l jumpallsnlstillt skynetsasserversionwithpingfast skynetnotice droppedskynet billy ~~~bloodred~~~owns~~~you~~~xoxo~~~2004 drdetroit[bloodred.b] drdetroit.b[dosmutagen] [ep0ch]systemsmutagen wxp4 [e.p.0.c.h]systemsmutagen drdetroit.c[centralmutagen] drdetroit.d[controlmutex] - -=rtsw.smash 0a2a1=- - -=rtsw.smash 0a2a0=- finalmente el troyano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 www.goat.cx
127.0.0.1 www.google.com
127.0.0.1 rohitab.com
127.0.0.1 www.rohitab.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo