w32/sinala@mm

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/sinala@mm

w32.hllw.sinala@mm , w32/sinala, win32/sinala.a, w32/alanis.a, w32/alanis@mm, i.worm.alanis@mm, w32/alanis-a, i-worm.alanis w32/generic.worm!p2p
tipo: gusano de email
tama?o: 22,528 bytes
origen: per?
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.5 y 5.6 al 11/11/2003
w32/sinala@mm es un gusano de env?o masivo de emails, se env?a a todos los contactos de la libreta de direcciones de microsoft outlook, tambi?n se difunde a trav?s de la red de intercambio de archivos kazaa, kazaa lite, grokster, morpheus, edonkey2000, winmx, icq y msn messenger.
el gusano esta escrito en visual basic y comprimido con upx
características del mensaje de e-mail:
asunto: [cualquiera de la siguiente lista]
hay te envio el video que me pediste ta buenazo este es el video verdad espero que sea de tu agrado espero que te guste a mi me gsuto :p el grupo esta buenazo muy buen video baile paso a paso aprendera a bailar rapido nuevos pasos viva la musica espero que te guste los nuevos pasos axebahia hectlavo trancebaile teckno cuerpo: [en blanco]
archivo adjunto: alanis.exe
---------------------------------------------------
cuando el gusano se ejecuta muestra el siguiente falso mensaje de error
error
?error interno en la aplicacion ?intente en algunos momentos!
[aceptar]
seguidamente se copia a si mismo como:
windows \cleanmgr.mcg windows \molani.scr system \cleanmgr.mcg system \freesoft.avi.scr system \kerneldll32.api system \mope.scr
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt)
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en cada reinicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
w32alanis= system \mope.scr
tambi?n modifica las siguientes entradas para deshabilitar el acceso al registro
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
luego modifica una entrada en el registro para permitir la ejecuci?n de los archivos infectados que el gusano copia con extensi?n .mcg
hkey_classes_root\.mcg
hkey_classes_root\mcgfile
en sistemas con windows 95/98/me el gusano modifica el archivo system.ini agreg?ndole la siguiente entrada
shell= windows \cleanmgr.mcg
adem?s el gusano tambi?n copia los siguientes archivos en el sistema:
c:\alanis.html c:\avril.html c:\evan.html c:\nemo.html c:\pamelaxxx.html c:\mis documentos\alanis.html c:\mis documentos\avril.html c:\mis documentos\evan.html c:\mis documentos\nemo.html c:\mis documentos\pamelaxxx.html seguidamente el gusano busca las siguientes carpetas compartidas de las aplicaciones de intercambio de archivos como kazaa, grokster, morpheus, edonkey2000, winmx, icq y msn messenger y se copia dentro de estas como:
alanis morri.mcg avril lavig.mcg picsxxx.mcg termi.mcg destino2.mcg seaevil.mcg prin.mcg pamxx.mcg evange.mcg saint.mcg ova4.mcg ova13.mcg ponw.mcg metalica.mcg finalmente el gusano cada cierto tiempo revisa la unidad a:\ , en caso haya un disquete insertado se copia como :
a:\axebah.exe a:\badboys!!.scr a:\piratas.scr a:\ring.exe


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo