w32/stration.dh

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/stration.dh

w32.stration.dh@mm
tipo: gusano
tama?o: 24,580 bytes
origen: internet
destructivo: no en la calle (in the wild): si detecci?n y eliminaci?n: the hacker 6.0 al 27/10/2006.
descripci?n:
w32/stration.dh , es un gusano que se difunde a través de envió masivo de e-mail, busca direcciones de e-mail dentro de archivos con las siguientes extensiones .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls y .xml para luego enviarse a si mismo a todas las direcciones encontradas.
características del mensaje de e-mail:
asunto: [variable uno de los siguientes]
good day server report picture status hello error mail delivery system mail transaction failed mail server report cuerpo: [variable uno de los siguientes]
the message contains unicode characters and has been sentas a binary attachment. mail transaction failed. partial message is available. the message cannot be represented in 7-bit ascii encodingand has been sent as a binary attachment. mail server report. our firewall determined the e-mails containing worm copies are being sent from your computer. nowadays it happens from many computers, because this is a new virus type (network worms). using the new bug in the windows, these viruses infect the computer unnoticeably. after the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses. please install updates for worm elimination and your computer restoring. best regards,
customers support service
-------------------------------
archivo adjunto: [variable uno de los siguientes nombres, seguido de dobles extensiones]
body data docs doc document file message readme test text update-kb[número aleatorio]-x86 - primera extensión, puede ser una de las siguientes (.log, .elm, .msg, .txt o .dat)
- segunda extensión, seguido por espacios en blanco y por una de las siguientes extensiones (.bat, .cmd, .scr, .exe y .pif)
----------------------------
cuando el gusano se ejecuta visualiza el siguiente mensaje:
information
update successfully installed.
[ ok ]
seguidamente se copia a si mismo con todos sus componentes dentro de:
windows \mswiiz32.exe windows \mswiiz32.wax windows \mswiiz32.dat system \e1.dll nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
mswiiz32= windows \mswiiz32.exe s
también modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows nt\currentversion\windows
appinit_dlls=e1.dll
luego modifica las siguientes entradas para cambiar las configuraciones del internet explorer.
hkey_current_user\software\microsoft\windows\currentversion\internet settings
proxybypass=1
hkey_current_user\software\microsoft\windows\currentversion\internet settings
intranetnames=1
hkey_current_user\software\microsoft\windows\currentversion\internet settings
uncaintranet=1
hkey_current_user\software\microsoft\windows\currentversion\internet settings
migrateproxy=1
hkey_current_user\software\microsoft\windows\currentversion\internet settings
proxyenable=1
finalmente descarga y ejecuta archivos desde sitios web remotos.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo