w32/suclove.a

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/suclove.a

w32.suclove.a@mm, worm_suclove.a, w32/suclove@mm
tipo: gusano
tama?o: 126,976 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 25/09/2005.
w32/suclove.a@mm , es un gusano que se difunde a trav?s de envi? masivo de e-mail, este utiliza ms outlook para enviar una copia de si mismo a todos los contactos de la libreta de direcciones. tambi?n se difunde a trav?s del mirc.
cuando el gusano se ejecuta se copia a si mismo como:
windows \loveletter.doc.exe system \dllhost.dll system \loader32.com root \winlogon.exe adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
dll32=dllhost.dll
hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\run
@= root \winlogon.exe
tambi?n modifica las siguientes entradas:
hkey_local_machine\software\classes\dllfile\shell\open\command
@= 1 *
hkey_local_machine\software\classes\exefile\shell\open\command
@= system \loader32.com 1
hkey_local_machine\software\microsoft\windows\currentversion\explorer\hidefileext
checkedvalue=1
hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer
nofolderoptions=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
intenta crear el archivo script.ini dentro de las siguientes ubicaciones, dicho archivo contiene scripts irc para enviarse a si mismo a otros usuarios
c:\mirc c:\mirc32 c:\progra~1\mirc c:\progra~1\mirc32 finalmente realiza las siguientes acciones:
1.- crea el archivo outlook.vbs dentro de [unidad raiz] \progra~1\micros~1\, dicho archivo ejecuta ms outlook y env?a una copia del gusano a todos los contactos de la libreta de direcciones
caracter?sticas del mensaje de e-mail:
asunto: read my letter for you
cuerpo: this was created from the deep inside my heart.
archivo adjunto: loveletter.doc.exe
2.- crea el archivo sender.vbs, este script contiene c?digo para enviar una copia del gusano para todos los usuarios que se encuentre en la siguiente ubicaci?n, [unidad raiz] \program files\yahoo!\messenger\profiles folder
caracter?sticas del mensaje de e-mail:
asunto: love, for forgiveness:->
cuerpo: i love u please forgive me!....
archivo adjunto: loveletter.doc.exe
3.- abre el puerto tcp 1111, el cual permite a un atacante remoto descargar y ejecutar archivos en el computador atacado.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo