w32/savage.a

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/savage.a

worm_savage.a
tipo: gusano
tama?o: 51,200 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 30/08/2005.
w32/savage.a@mm, es un gusano residente en memoria, se difunde a trav?s de envi? masivos de e-mails. utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en la libreta de direcciones de windows y utilizando algunos nombres generados por el mismo gusano.
caracter?sticas del mensaje de e-mail:
asunto: [variable, alguno de los siguientes]
am shocked about your document! are you a spammer? (i found your email on a spammer website!?!) bad gateway: the message has been attached. binary message is available. can you confirm it? delivered message is attached. do not visit these sites!!! encrypted message is available. esmtp [secure mail system #334]: secure message is attached. mail transaction failed. partial message is available. the message cannot be represented in 7-bit ascii encoding and has been sent as a binary attachment. the message contains unicode characters and has been sent as a binary attachment. you have visited illegal websites. i have a big list of the websites you surfed. you think its funny? you are stupid idiot!!! ill send the attachment to your isp and then ill be watching how you will go to jail, punk!!! your credit card was charged for $500 usd. for additional information see the attachment cuerpo: [variable, alguno de los siguientes]
attention! new self-spreading virus!
be careful, a new self-spreading virus called rtsw.smash spreading very fast via e-mail and p2p networks. its about two million people infected and it will be more.
to avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. your can find it in the attachment.
p 2004 networks associates technology, inc. all rightsreserved
----------------------
new terms and conditions for credit card holders
herea new terms and conditions for credit card holders using a credit cards for making purchase in the internet in the attachment. please, read it carefully. if you are not agree with new terms and conditions do not use your credit card in theworld wide web.
thank you,
the world bank group
2004 the world bank group, all rights reserved
---------------------
thank you for registering at worldxxxpass.com
all your payment info, login and password you can find in the attachment file.
its a real good choise to go to worldxxxpass.com
--------------------
attention! your ip was logged by the internet fraud complaint center
your ip was logged by the internet fraud complaint center. there was a fraud attempt logged by the internet fraud complaint center from your ip. this is a serious crime, so all records was sent to the fbi.
all information you can find in the attachment. your ip was flagged and if there will be anover attemption you will be busted.
this message is brought to you by the federal bureau of investigation and the national white collar crime center
archivo adjunto:
tmp.zip
nota.- el archivo .zip contiene el archivo lsasrv.exe , dicho archivo puede tener una doble extensi?n que puede ser .bat, .exe, .pif o .scr.
---------------------------
cuando el gusano se ejecuta crea un archivo de nombre me^sa~e#4 , dentro de la carpeta temporal de windows, el cual es abierto con el block de notas (notepad.exe), dicho archivo contiene texto basura en su contenido.
seguidamente se copia a si mismo con todos sus componentes dentro de:
system \lsasrv.exe [copia del gusano]
system \iexplor.dll [componente del gusano]
system \shlapiw.dll [componente del gusano]
system \version.ini [archivo no malicioso]
system \upd.ini [archivo no malicioso]
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
lsass= system \lsasrv.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\iexplorer.exe
debugger= system \lsasrv.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell=explorer.exe system \lsasrv.exe
tambi?n crea las siguientes entradas en el registro:
hkey_current_user\software\microsoft\windows\currentversion\explorer\ssavage
hkey_local_machine\software\microsoft\windows\currentversion\explorer\ssavage
tambi?n elimina las siguientes entradas en el registro que est?n asociadas con variantes de los gusanos mydoom, netsky, blaster, bagle y sobig.
hkey_local_machine\software\microsoft\windows\currentversion\run\ taskmon =taskmon.exe hkey_local_machine\software\microsoft\windows\currentversion\run\ pandaavengine=pandaavengine.exe hkey_local_machine\software\microsoft\windows\currentversion\run\ sysinfo.exe=sysinfo.exe hkey_local_machine\software\microsoft\windows\currentversion\run\ system mscvb=mscvb32.exe hkey_local_machine\software\microsoft\windows\currentversion\run\ windows auto update=msblast.exe hkey_local_machine\software\microsoft\windows\currentversion\run\ microsoft inet xp..=teekids.exe hkey_local_machine\software\microsoft\windows\currentversion\run\ windows auto update=penis32.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ taskmon =taskmon.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ pandaavengine=pandaavengine.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ sysinfo.exe=sysinfo.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ system mscvb=mscvb32.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ windows auto update=msblast.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ microsoft inet xp..=teekids.exe hkey_ current_user\software\microsoft\windows\currentversion\run\ windows auto update=penis32.exe luego finaliza los siguientes procesos activos pertenecientes a otros virus y gusanos que encuentre en el computador atacado:
bagle.v microsoft inet xp.. msblast.exe mscvb32.exe mydoom.h netsky.r pandaavengine pandaavengine.exe penis32.exe sobig.c sysinfo.exe system mscvb taskmon taskmon.exe teekids.exe w32.blaster w32.blaster.b w32.blaster.c windows auto update el gusano tambi?n se difunde a trav?s de la red de intercambio de archivos p2p como kazaa, morpheus, imesh, limewire y edonkey2000, copiando sus archivos como:
activation_crack ad-awareref01r344 adultsitespasswds dcom_patch icq2004-final k-litecodecpack2.32a nerobrom6.3.1.25 porno winamp5 winxp_sp2patch intentar? conectarse a un determinado sitio web remoto y queda a la espera de recibir ordenes remotas de un atacante, las ordenes podr?an realizar las siguientes acciones:
descargar y ejecutar archivos. obtener nuevas versiones del gusano. actualizar, remover y finalizar al gusano. finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
avp.com ca.com customer.symantec.com dispatch.mcafee.com download.mcafee.com downloads1.kaspersky.com downloads2.kaspersky.com f-secure.com ftp.downloads1.kaspersky-labs.com grisoft.com kaspersky-labs.com kaspersky.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com my-etrust.com networkassociates.com rads.mcafee.com secure.nai.com securityresponse.symantec.com sophos.com symantec.com trendmicro.com update.symantec.com updates.symantec.com updates1.kaspersky-labs.com updates2.kaspersky-labs.com updates3.kaspersky-labs.com viruslist.com www.avp.com www.ca.com www.f-secure.com www.grisoft.com www.kaspersky.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo