w32/lisima

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/lisima

irc-worm.win32.lile.a, w32/lile-a, w32/lisima-mm, win32.hllc.lile.a, win32/gedza.nab, worm/lile.a, i-worm.lile.a, w32/borg.a.drp, gedza.nab
tipo: gusano
tama?o: 122,821 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, con registro de virus v00102 al 08/09/2005.
w32/lisima@mm , es un virus y gusano que infecta archivos pe (portable executable) de windows y evita el acceso a sitios relacionados a programas antivirus. este se difunde a trav?s de la red de intercambio de archivos p2p, canales irc, aol instant messenger y yahoo pager.
cuando el gusano se ejecuta se copia a s? mismo con todos sus componentes dentro de:
windows \msrundll32.exe windows \lel.exe windows \leliel.zip windows \readme.hlp windows \wininit.ini tambi?n crea los siguientes archivos dentro de la unidad ra?z en el computador atacado:
gedzac.txt hst.sys l.reg leliel.hta leliel.txt mi.inf vi.inf nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
adem?s modifica la siguiente entrada en el registro:
hkey_current_user\software\classes\directory\shell\asimilar
command= windows \msrundll32.exe 1 *
busca en la red recursos compartidos desprotegidos o protegidos por contrase?as f?ciles, si encuentra alguno intenatar? copiarse dentro de la carpeta inicio, utilizando el nombre de archivo gedzac.exe, tambi?n modifica el archivo win.ini para poder ejecutarse en cada inicio del sistema.
luego se copiar? a si mismo con los siguientes nombres de archivo en todas las unidades que encuentre en el computador atacado.
dibujitos.jpg.pif image012.jpg.pif primeracita.txt.pif rutadelplacer.doc.pif yanet.jpg.pif seguidamente para poder difundirse a trav?s del yahoo pager (servicio de mensajeria) crea una carpeta de nombre ymsg en el computador atacado y se copia a si mismo dentro de dicha carpeta utilizando los siguientes nombres:
amor_love.zip chicas_girls.zip mi foto.zip mi poema.zip video.zip el gusano finalizar? los siguientes procesos relacionados a programas antivirus y seguridad, si su nombre esta compuesto por los siguientes textos:
scan virus trojan panda troyan remover mcafee firewall bitdefender security norton clean norman process the hacker thav avp symantec shopos avg infecta archivos ejecutables de windows, marcando dichos archivos con el texto borg al final del archivo.
el primer d?a de cada mes el gusano visualiza el siguiente mensaje:
finalmente sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ y windows , para redireccionar direcciones urls al localhost (127.0.0.1)
127.0.0.1 alerta-antivirus.red.es
127.0.0.1 antivirus.cai.com
127.0.0.1 avp.com
127.0.0.1 avp.ch
127.0.0.1 avp.ru
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 de.trendmicro-europe.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 free.grisoft.com
127.0.0.1 free-av.com
127.0.0.1 f-secure.com
127.0.0.1 ftp.avp.ch
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.kasperskylab.ru
127.0.0.1 ftp.perantivirus.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 grisoft.com
127.0.0.1 housecall.antivirus.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 rads.mcafee.com
127.0.0.1 sandbox.norman.no
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 uk.trendmicro-europe.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates4.kaspersky-labs.com
127.0.0.1 updates5.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.alerta-antivirus.es
127.0.0.1 www.antivirus.com.ar
127.0.0.1 www.antivirusgratis.com.es
127.0.0.1 www.avast.com
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.clamav.com
127.0.0.1 www.clamwin.com
127.0.0.1 www.drsolomon.com
127.0.0.1 www.drweb.com
127.0.0.1 www.eset.com
127.0.0.1 www.fortinet.com
127.0.0.1 www.free-av.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.gecadnet.ro
127.0.0.1 www.globalhauri.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.hacksoft.com.pe
127.0.0.1 www.hacksoft.net
127.0.0.1 www.hbedv.com
127.0.0.1 www.ikarus.at
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.nod32.com
127.0.0.1 www.nod32-es.com
127.0.0.1 www.norman.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.pandasoftware.es
127.0.0.1 www.perantivirus.com
127.0.0.1 www.perantivirus.net
127.0.0.1 www.perantivirus.org
127.0.0.1 www.perantivirus.us
127.0.0.1 www.persystems.com
127.0.0.1 www.persystems.net
127.0.0.1 www.preventix.net
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sarc.com
127.0.0.1 www.softpedia.com
127.0.0.1 www.sophos.com
127.0.0.1 www.sybari.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.vsantivirus.com
127.0.0.1 www.zonavirus.com
127.0.0.1 www.zonelabs.com
127.0.0.1 www3.ca.com
127.0.0.1 zonelabs.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo