w32/swen.a@mm

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/swen.a@mm

worm.w32/gibe.c, w32/gibe.c.worm, w32/swen@mm, win32/swen.a, worm_swen.a, win32.sven.a@mm, w32.swen.a@mm, i-worm.swen,win32.swen.a, win32/swen@mm , w32/gibe.c@mm, w32/gibe-f.
tipo: gusano
tama?o: 106,496 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.5, registro de virus al 18/09/2003

w32/swen.a@mm es un gusano que se propaga por correo electr?nico y a trav?s de la red de intercambio de archivos (kazaa y irc), termina procesos de antivirus y firewalls que funcionan en la computadora.
llega por e-mails en mensajes en formato html, que simulan proceder de microsoft, enga?ando al receptor haciendo creer que el archivo adjunto es un parche de seguridad. aprovechando una vulnerabilidad de intenet explorer para ejecutarse autom?ticamente con la simple visualizaci?n del mensaje.
el gusano es similar a w32.gibe.b@mm en la funci?n, y esta escrito en c++.
cuando el gusano es ejecutado verifica si el nombre del archivo ejecutado inicia con las letras q, u, p, ? i, el gusano presentar? al usuario cajas de di?logo que fingen ser un paquete de la actualizaci?n del internet de microsoft.
el gusano se instalar? sin importar las opciones que el usuario hace a este punto y procura poner fin a los siguientes procesos:
_avp ccshtdwn iamserv navnt regedit ackwin32 cfiadmin ibmasn navsched rescue anti-trojan cfiaudit ibmavsp navw safeweb aplica32 cfind icload95 nisum serv95 apvxdwin cfinet icloadnt nmain sphinx autodown claw95 icmon normist sweep avconsol dv95 icmoon nupdate tca ave32 ecengine icssuppnt nupgrade tds2 avgcc32 efinet32 icsupp nvc95 vcleaner avgctrl esafe iface outpost vcontrol avgw espwatch iomon98 padmin vet32 avkserv f-agnt95 jedi pavcl vet95 avnt findviru kpfw32 pavsched vet98 avp fprot lockdown2000 pavw vettray avsched32 f-prot lookout pcciomon vscan avwin95 fprot95 luall pccmain vsecomr avwupd32 f-prot95 moolive pccwin98 vshwin32 azonealarm fp-win mpftray pcfwallicon vsstat blackd frw msconfig persfw webtrap blackice f-stopw nai_vs_stat pop3trap wfindv32 bootwarn gibe navapw32 pview zapro ccapp iamapp navlu32 rav
transmisi?n a trav?s del correo:
env?a una copia de s? mismo a las direcciones encontradas en el sistema con varios m?todos. el gusano puede variar el mensaje que env?a, as? como el nombre del archivo que une s? mismo.
este gusano utiliza la falla incorrect mime header can cause ie to execute e-mail attachment vulnerability , con esta falla microsoft internet explorer 5.01 o 5.5 sin sp2 ejecuta el archivo adjunto en forma autom?tica, el parche se encuentra en: http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
pretende ser un mensaje cr?tico enviado desde microsoft:
el gusano tambi?n puede personificar los avisos de la falta de reparto de correo, uni?ndose como un archivo ejecutable nombrado aleatoriamente como por ejemplo:
im sorry i wasnt able to deliver your message to one or more destinations.
descarga una copia de si mismo a windir , el nombre del archivo es generado en forma aleatoria.
crea el archivo windir \germs0.dbv . donde almacenar? las direcciones de correos ya encontrados.
crea el archivo windir \swen1.dat . donde almacenar? una lista de nuevo s correos y servidores remotos.
descarga un archivo bat nombrepc .bat , el cu?l ejecuta el gusano y un archivo aleatoriamente nombrado de la configuraci?n para almacenar los datos locales, de una maquina espec? fica. ( nombrepc es una variable que representa el nombre de la computadora infectada.)
agrega los siguientes valores en el registro del sistema, donde ( * ) es un conjunto aleatorio de letras.
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
cachebox outfit=yes
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
zipname=[aleatorio]
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
email address=[e-mail por defecto de la pc infectada]
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
server=[el numero de ip del servidor smtp del registro de windows]
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
mirc install folder=[localizaci?n del cliente mirc del sistema]
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
installed=...by begbie
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
install item=[aleatorio]
hkey_local_machine\software\microsoft\windows\currentversion\explorer\*
unfile=[aleatorio]
agrega un valor en forma aleatoria en el registro, para que se ejecute cuando inicie windows.:
hkey_local_machine\software\microsoft\windows\currentversion\run
(cadena aleatoria) = znful.exe autorun
modifica las siguientes llaves del registro el cual engancha el gusano para buscar estos tipos de archivos :
hkey_local_machine\software\classes\exefile\shell\open\command
(default) = filename 1 *
hkey_local_machine\software\classes\regfile\shell\open\command
(default) = filename 1 *
hkey_local_machine\software\classes\scrfile\shell\open\command
(default) = filename 1 *
hkey_local_machine\software\classes\comfile\shell\open\command
(default) = filename 1 *
hkey_local_machine\software\classes\batfile\shell\open\command
(default) = filename 1 *
hkey_local_machine\software\classes\piffile\shell\open\command
(default) = filename 1 *
tambi?n modifica el valor en el registro del sistema para prevenir que el usuario ejecute el regedit en el sistema.
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools = 1
peri?dicamente presenta a los usuarios un falso error solicitando los siguientes datos :
presenta al usuario los siguientes falsos mensajes de error, y desaparecen cuando se ejecuta ciertos archivos ejecutables, t ales como el regedit.
exception error occured:
memory access violation in module kernel32 at random.memory.address
env?a una petici?n http get a determinado servidor http para capturar informaci?n cuando el gusano es ejecutado por primera vez. el gusano muestra informaci?n sobre un contador:
transmisi?n a trav?s del kazaa
cuando intenta propagarse a trav?s del kazaa , el gusano descarga una copia de si mismo con un nombre creado en forma aleatoria en la carpeta temp del sistema.
agrega el siguiente valor en el registro, el cual adiciona estas carpetas en la lista de carpetas compartidas del kazaa.
hkey_current_user\software\kazaa\localcontent
dir99= 0 :[nombre de carpeta aleatoria]
hkey_current_user\software\kazaa\localcontent
disablesharing=0
algunos de los nombres de los archivos incluidos en la descarga:
virus generator
magic mushrooms growing
cooking with cannabis
hallucinogenic screensaver
my naked sister
xxx pictures
sick joke
xxx video
xp update
emulator ps2
xbox emulator
sex
hardporn
jenna jameson
10.000 serials
hotmail hacker
yahoo hacker
aol hacker
fixtool
cleaner
removal tool
remover
klez
sobig
sircam
gibe
yaha
bugbear
installer
upload
warez
hacked
hack
key generator
windows media player
getright ftp
download accelerator
mirc
winamp
winzip
winrar
kazaa
kazaa media desktop
kazaa lite
transmisi?n a trav?s del irc:
cuando intenta propagarse a trav?s del irc, el gusano busca una carpeta \mirc
crea un archivo script.ini en esta carpeta, el cual usa el gusano para enviarse a si mismo para otros usuarios del mirc, qui?nes est?n conectadas en el mismo canal que la computadora infectada.
transmisi?n a trav?s de la red :
cuando intenta propagarse a trav?s de la red , el gusano procura localizar la carpeta startup en toda la red, como en las siguientes:
windows 2000:
procura copiarse a si mismo en la computadora remota :
\documents and settings\ nombre de usuario de de la computadora infectada \start menu\programs\startup
windows 98:
procura copiarse a si mismo en la computadora remota :
\windows\start menu\programs\startup
windows nt:
procura copiarse a si mismo en la computadora remota como:
\winnt\profiles\ nombre de usuario de de la computadora infectada \start menu\programs\startup


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo