w32/magflag.a

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/magflag.a

w32.magflag.a@mm
tipo: gusano
tama?o: 19,045 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 29/09/2005.
w32/magflag.a@mm, es un gusano que se difunde a trav?s de envi? masivos de e-mail y a trav?s de la red de intercambio de archivos p2p.
cuando el gusano se ejecuta este copia as? mismo dentro de:
system \winldr.exe
seguidamente ejecuta un proceso legitimo del sistema svchost.exe, y se injecta a si mismo dentro de los procesos de este, de esta manera todas las acciones subsiguientes seran tomadas por el explorer.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell=explorer.exe winldr.exe
modifica la siguiente entrada para intentar pasar el firewall de windows:
hkey_local_machine\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\
authorizedapplications\list
system \svchost.exe= system \svchost.exe:*:enabled:svchost
seguidamente intentar? descargar y ejecutar los siguientes archivos:
http://topdresser.ca/[removido]/flg.exe http://muirventures.ca/[removido]/flg.exe http://uh.gameage.co.uk/[removido]/flg.exe http://fire-clan.org.uk/[removido]/flg.exe http://signtrainer.com/[removido]/flg.exe http://theemmauscommunity.org/[removido]/flg.exe http://frontdoorproductions.net/[removido]/flg.exe http://actionwebdevelopment.com/[removido]/flg.exe http://parablenewmedia.com/[removido]/flg.exe http://traxxinc.com/[removido]/flg.exe http://realestatesolutionsplus.com/[removido]/flg.exe http://cosmoflash.com/[removido]/flg.exe http://fooyagi.com/[removido]/flg.exe http://pnimaging.com/[removido]/flg.exe http://cosmed-hair.com/[removido]/flg.exe luego descargar? el archivo winldr.ini, dicho archivo contiene informaci?n de donde el gusano descargar? los siguientes archivos:
/[removed]/lett.htm /[removed]/s.txt /[removed]/f.txt dichos archivos contienen el asunto, cuerpo y remitente del e-mail que el gusano utiliza para enviarse a si mismo.
el gusano busca direcciones de e-mail en todo el computador y en archivos con las siguientes extensiones .wab, .txt, .msg, .htm, shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, y .jsp.
caracter?sticas del mensaje de e-mail:
el remitente, asunto y cuerpo es obtenido de los archivos descargados lett.htm, s.txt y f.txt
archivo adjunto: rechnung.pdf.exe
----------------------
evita enviarse a direcciones de e-mail que contengan los siguientes textos:
@hotmail @msn @microsoft rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin crosoft @messagelab root@ abuse panda linux unix spam antispam gov finalmente busca archivos con extensi?n .exe dentro de las carpetas compartidas de programas de intercambio de archivos p2p como kazaa, morpheus, imesh, edonkey2000 y limewire. si encuentra alguno intentar? reemplazarlo con un archivo que el gusano crea.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo