w32/mydoom.bq

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/mydoom.bq

w32.mydoom.bq@mm, net-worm.win32.mytob.au, w32/mytob-au, worm_mytob.eg
tipo: gusano de email
tama?o: 33,792 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 y 5.8 con registro de virus al 09/05/2005
w32/mydoom.bq@mm , es un gusano que se propaga v?a e-mail utilizando su propio motor smtp . el gusano busca direcciones de e-mail en la libreta de direcciones de windows y en archivos que tengan las siguientes extensiones, .adb, .asp, .dbx, .tbb, .php, .wab, .txt, .sht*, y .htm*
caracter?sticas del mensaje de e-mail:
asunto: [variable, cualquiera de los siguientes]
notice: **last warning** your email account access is restricted your email account is suspended for security reasons notice:***your email account will be suspended*** security measures email account suspension *important* please validate your email account *important* your account has been locked cuerpo:
once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal. to unblock your email account acces, please see the attachment. follow the instructions in the attchment. we have suspended some of your email services, to resolve the problem you should read the attached document. to safeguard your email account from possible termination, please see the attached file. please look at attached document. account information are attached! archivo adjunto: [cualquiera de los siguientes, con extensi?n .bat, .cmd, .exe, .scr, .zip, y .pif]
important info document_full email-doc email-info email-text info-text information your_details -------------------------------
cuando el gusano se ejecuta se copia a s? mismo en:
system \internet.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
tambi?n crea un mutex de nombre h-e-l-l-b-o-t-3-!!, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente modifica algunas entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
internet services= system \internet.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
internet services= system \internet.exe
tambi?n modifica la siguiente entrada en el registro
hkey_local_machine\system\currentcontrolset\services\sharedaccess
start= 4
intenta finalizar los siguientes procesos, algunos son programas de seguridad como antivirus y firewalls.
pandaavengine.exe cmd.exe msconfig.exe navapw32.exe navw32.exe netstat.exe regedit.exe taskmgr.exe wincfg32.exe zapro.exe zonealarm.exe seguidamente intentara conectase a un canal irc en el dominio irc.blackcarder.net a trav?s del puerto tcp 7000 , si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar lo siguiente:
descargar archivos. ejecutar archivos. eliminar archivos. reiniciar el computador atacado. actualizar el archivo del gusano. finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo