w32/discoball

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/discoball

w32/discoball.worm
tipo: gusano
tama?o: 206,336 bytes
origen: españa
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 09/02/2003. descripción:
w32/discoball , se propaga a través de la red de intercambio de archivos kazaa, edonkey, etc. tiene su propio motor smtp, con el cual intenta conectarse a un determinado servidor con dominio ru, de esta manera envia mensajes a su creador.
cuando el gusano se ejecuta este se copia a sí mismo dentro de:
c:\windows\mdbole.exe
c:\windows\system\seg32.exe
c:\windows\system\wins.exe
también copiará dentro de la carpeta system el siguiente archivo:
c:\windows\system\int13ext.vxd (6,772 bytes)
además modifica varias entradas en el registro para poder realizar sus rutinas maliciosas
hkey_local_machine\software\k32
t=reg_dword:a0, bb, 0d, 00
hkey_local_machine\software\microsoft\windows\currentversion\run
predeterminado=c:\windows\system\wins.exe
hkey_local_machine\software\microsoft\windows\currentversion\runonce
predeterminado=c:\windows\system\wins.exe
hkey_classes_root\software\microsoft\windows\currentversion\runservices
predeterminado=c:\windows\system\wins.exe
hkey_classes_root\exefile\shell\open\command
predeterminado= c:\windows\system\seg32.exe 1 *
el gusano intentará conectarse con un servidor pop determinado, que tiene el dominio pop.pochtamt.ru, en el cual se autentificará, si logra hacer la conexión, el gusano enviará un mensaje de correo utilizando su propio motor smtp smtp.pochtamt.ru , para establecer contacto con su creador.
caracteristicas del mensaje de email:
de: rundll32@pochtamt.ru
asunto: info
a: rundll32@pochtamt.ru
seguidamente intentará compartir las siguientes unidades: c$, d$, ipc$, si el gusano encuentra las carpetas windows o winnt compartidos, creará los archivos mdbole.cfg y mdbole.exe.
finalmente modificará el archivo win.ini para que en el siguiente reinicio del sistema el gusano se ejecute.
[windows]
run=mdbole.exe
[boot]
shell=explorer.exe mdbole.exe


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo