w32/sober.h

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/sober.h

w32.sober.h@mm, w32/sober.h, troj/sober-h, win32/sober.h, sober.h, trojan.ascetic.a
tipo: gusano
tama?o: 59,747 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.6, registro de virus al 12/06/2004

w32/sober.h@mm , es un gusano que se transmite a través de e-mail utilizando su propio motor smtp. los asuntos son variables y pueden estar en ingles o aleman.
busca direcciones de email en el computador atacado en archivos que tengan las siguientes extensiones: abc, abd, abx, adb, ade, adp, adr, asp, bak, bas, cfg, cgi, cls, cms, csv, ctl, dbx, dhtm, doc, dsp, dsw, eml, fdb, frm, hlp, imb, imh, imh, imm, inbox, ini, jsp, ldb, ldif, log, mbx, mda, mdb, mde, mdw, mdx, mht, mmf, msg, nab, nch, nfo, nsf, nws, ods, oft, php, pl, pmr, pp, ppt, pst, rtf, shtml, slk, sln, stm, tbb, txt, uin, vap, vbs, vcf, wab, wsh, xhtml, xls, xml .
ignora direcciones de e-mail que est?n conformadas por las siguientes cadenas de texto:
-dav .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @msn @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock detection domain. emsisoft ewido. free-av freeav ftp. gold-certs host. icrosoft ipt.aol law2 mailer-daemon mantec me@ mozilla msdn. mustermann@ nlpmail01. nothing reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin t-ipconnect time user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname cuando el gusano se ejecuta copia los siguientes archivos dentro de:
system \[nombre aleatorio].exe system \ bcegfds.lll system \ zhcarxxi.vvx system \ cvqaikxt.apk system \ odin-anon.ger system \ mswn32sock.dats system \ llsapwin32.dats donde: [nombre aleatorio] es elegido aleatoriamente de la siguiente lista:
sys host dir expolrer win run log 32 disc crypt data diag spool service smss32 nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\runonce
[nombre aleatorio]= system \[nombre aleatorio].exe 1
seguidamente intenta utilizar una de los siguientes servidores dns:
195.185.185.195 145.253.2.139 131.243.64.3 195.182.96.29 61.8.0.113 212.71.97.156 61.95.134.168 217.237.151.33 200.74.214.246 211.167.97.67 194.25.2.129 193.193.158.10 212.7.128.165 212.7.128.162 193.193.144.12 217.5.97.137 194.209.114.1 195.112.195.34 203.162.0.11 210.66.241.1 217.237.150.225 217.237.151.161 217.237.150.33 145.253.2.171 151.201.0.39 204.70.128.1 209.253.113.2 192.35.232.34 166.60.12.11 207.69.188.186 209.235.107.14 207.217.120.43 212.5.86.163 129.187.10.25 129.187.16.1 141.40.10.35 82.195.234.2 64.41.72.138 212.242.88.2 131.174.8.14 217.116.224.253 para obtener las siguientes direcciones ip:
microsoft.com bigfoot.com yahoo.com t-online.de google.com hotmail.com el gusano intentar? conectarse a los siguientes sitios:
ntps1-1.cs.tu-berlin.de ntp2.fau.de rolex.peachnet.edu ptbtime2.ptb.de time.nrc.ca ntp.metas.ch ntps1-0.cs.tu-berlin.de ntp0.fau.de timelord.uregina.ca ntp-1.ece.cmu.edu ptbtime1.ptb.de time.ien.it ntp3.fau.de time.chu.nrc.ca clock.psu.edu ntp1.fau.de finalmente intenta descargar un archivo desde el siguiente sitio people.freenet.de , el archivo es copiado dentro de la carpeta system con el nombre winhlpx32ll.exe


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo