w32/mydoom.ag

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/mydoom.ag

w32.mydoom.ag@mm
tipo: gusano de email
tama?o: 31,744 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 26/10/2004
w32/mydoom.ag@mm , es un gusano que se propaga v?a e-mail utilizando su propio motor smtp . el gusano busca direcciones de e-mail en la libreta de direcciones de windows y en archivos que tengan las siguientes extensiones, .adb, .asp, .dbx, .htm, .php, .sht, .tbb, .txt, .wab y .pl
caracter?sticas del mensaje de e-mail:
asunto: [puede ser alguno de los siguientes]
attention!!! do not reply to this email error good day hello mail delivery system mail transaction failed server report status cuerpo: [alguno de los siguientes]
the message contains unicode characters and has been sent as a binary attachment.
-----------------------------------
mail transaction failed. partial message is available.
-----------------------------------
the message cannot be represented in 7-bit ascii encoding and has been sent as a binary attachment.
-----------------------------------
thank you for registering at worldxxxpass.com
all your payment info, login and password you can find in the attachment file.
its a real good choise to go to worldxxxpass.com
-----------------------------------
attention! new self-spreading virus!
be careful, a new self-spreading virus called rtsw.smash spreading very fast via e-mail and p2p networks. its about two million people infected and it will be more.
to avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. your can find it in the attachment.
c 2004 networks associates technology, inc. all rights reserved
-----------------------------------
new terms and conditions for credit card holders
here a new terms and conditions for credit card holders using a credit cards for making purchase in the internet in the attachment. please, read it carefully. if you are not agree with new terms and conditions do not use your credit card in the world wide web.
thank you,
the world bank group
c 2004 the world bank group, all rights reserved
----------------------------------
attention! your ip was logged by the internet fraud complaint center
your ip was logged by the internet fraud complaint center. there was a fraud attempt logged by the internet fraud complaint center from your ip. this is a serious crime, so all records was sent to the fbi. all information you can find in the attachment. your ip was flagged and if there will be anover attemption you will be busted.
this message is brought to you by the federal bureau of investigation and the national white collar crime center
----------------------------------
archivo adjunto: [puede ser uno de los siguientes con extensi?n .scr, .pif, .bat, .cmd, .exe, y .zip]
body message docs data file rules doc -------------------------------
cuando el gusano se ejecuta crea un mutex llamado my-game, el cual permite que solo una instancia del gusano se ejecute.
seguidamente se copia a s? mismo con todos sus componentes en:
system \lsasrv.exe system \version.ini [ruta de ejecuci?n del gusano] \hserv.sys nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s modifica las siguiente entrada en el registro del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
lsass = system \lsasrv .exe
tambi?n modifica la siguiente entrada para ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windowsnt \currentversion\winlogon
shell =explorer.exe system \lsasrv .exe
intentar? descargar un archivo llamado comms.txt desde el sitio http://wmspb .net
seguidamente se copiar? a s? mismo dentro de la carpeta compartida de programas de intercambio de archivos p2p como kazaa, morpheus, imesh, edonkey o limeware, los archivos pueden tener los siguientes nombres con extensi?n, .bat, .pif, .scr o .exe
porno nerobrom6.3.1.27 avpprokey ad-awareref01r349 winxp_patch adultpasswds dcom_patches k-litecodecpack2.34a activation_crack icq2004-final winamp5 luego intentar? terminar los siguientes procesos que pertenecen a firewall y antivirus
i11r54n4.exe irun4.exe d3dupdate.exe rate.exe ssate.exe winsys.exe winupd.exe sysmonxp.exe bbeagle.exe penis32.exe teekids.exe msblast.exe mscvb32.exe sysinfo.exe pandaavengine.exe taskmon.exe wincfg32.exe outpost.exe zonealarm.exe navapw32.exe navw32.exe zapro.exe msblast.exe netstat.exe finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 grisoft.com


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo