w32/reatle.e

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/reatle.e

w32. reatle.e@mm, w32/lebreat-e, worm_reatle.e
tipo: gusano de e-mail
tama?o: 36,890 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 02/08/2005
w32/reatle.e@mm , es un gusano que se difunde a trav?s de envi? masivo de e-mail e intenta difundirse explotando la vulnerabilidad dcom rpc descrito en el bolet?n de seguridad de microsoft ms03-026 .
busca direcciones de e-mail en archivos con las siguientes extensiones .asp, .txt, .cgi, .html, .htm y .wab, evita enviarse a si mismo a direcciones de e-mail que en su nombre contengan alguno de los siguientes textos:
@microsoft.com @mm bugs@ cafee f-secur kasp ntivi panda sopho symantec trendmicro caracter?sticas del mensaje de e-mail:
asunto:
re_ cuerpo: [variable, uno de los siguientes]
animals foto3 and mp3 fotogalary and music fotoinfo lovely animals predators screen and music the snake archivo adjunto: [variable, con las siguientes extensiones, .bat, .cmd, .com, .cpl, .exe, .pif, y .scr]
cool_mp3 [espacios en blanco] cat [espacios en blanco] dog [espacios en blanco] doll [espacios en blanco] fish [espacios en blanco] garry [espacios en blanco] mp3 [espacios en blanco] music_mp3 [espacios en blanco] new_mp3_player [espacios en blanco] --------------------------------
cuando el gusano se ejecuta crea los siguientes mutex, algunas previenen la ejecuci?n de variantes del gusano w32/netsky
breatleav_-beagle_- mi[skynet.cz]systemsmutex _-oo]xx|-s-k-y-n-e-t-|xx[oo-_ droppedskynet skynetsasserversionwithpingfast lk[skynet.cz]systemsmutex admskynetjkls003 ____--->>>>u<<<<--____ seguidamente se copia a s? mismo como:
system \beagle.exe system \xbeagle.tmp tambi?n crea y copia los siguientes archivos:
system \zipx.dat windows \xsas.jpg windows \sigma.dat nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
tambi?n modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
bunx= system \ beagle.exe
tambi?n modifica los siguientes valores para intentar en deshabilitar el administrador de tareas, editor de registro [regedit] y restauraci?n del sistema [system restore]
hkey_local_machine\software\microsoft\windows\currentversion\policies\system
disabletaskmgr=1
hkey_local_machine\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
hkey_local_machine\software\microsoft\windows nt\currentversion\systemrestore
disablesr=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disabletaskmgr=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
hkey_current_user\software\microsoft\windows nt\currentversion\systemrestore
disablesr=1
intenta eliminar las siguientes entradas en el registro:
hkey_current_user\software\microsoft\windows\currentversion\run\ zerthgdr hkey_current_user\software\microsoft\windows\currentversion\run\icqnet hkey_current_user\software\microsoft\windows\currentversion\run\easyav hkey_current_user\software\microsoft\windows\currentversion\run\kasperskyaveng seguidamente realiza las siguientes acciones:
intentar? realizar ataques de denegaci?n de servicio (dos) al sitio de www.kaspersky.com y www.sophos.com
abrir un servidor ftp en el puerto tcp 1155
abrir un servidor proxy en el puerto tcp 2005
finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
127.0.0.1 www.sarc.com 127.0.0.1 www.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 f-secure.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 symantec.com 127.0.0.1 www.mcafee.com 127.0.0.1 sophos.com 127.0.0.1 mcafee.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.nai.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo