w32/vote.k

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/vote.k

w32.vote.k@mm, bloodhound.w32.vbworm
tipo: gusano de e-mail
tama?o: 102,400 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación:
the hacker 5.5 al 08/09/2003.
descripción:
w32/vote.k, es un gusano que se transmite vía e-mail y a trav?s de la red de intercambio de archivos kazaa. cuando el gusano se ejecuta se env?a a todos los contactos de la libreta de direcciones de microsoft outlook. el gusano esta escrito en visual basic.
características del mensaje de e-mail:
asunto: the war has started !
cuerpo:
[nombre del receptor] , the war is not a joke !... there is one building up right now
lets unite in this horrible kaos. ... fight for us....!!!
...and let us remember those lost souls ! we count on you !
greetings,
world war veterans.
archivo adjunto: wtc32.scr
---------------------------------------------
cuando el gusano se ejecuta se copia a si mismo como:
windows \notepad.exe windows \wtc32.scr c:\autorun.com c:\nt-help.com c:\op_me.co_ c:\documents and settings\all users\desktop\welcome.scr nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
seguidamente muestra el siguiente mensaje:
world trade center
we will always remember those lost souls...
[ok]
luego crear? los siguientes archivos dentro de:
c:\microsoft nt help.html c:\autostart.bat c:\autorun.bat c:\wtc.txt c:\wtc32.dll adem?s el gusano sobrescribe en el archivo win.ini, para que se ejecute en el siguiente reinicio del sistema
tambi?n sobrescribe al archivo system.ini con la siguiente linea:
[boot]
shell=explorer.exe c:\windows\pbbgt.bat
luego modificar? la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
w32tc= windows \wtc32.scr
adem?s modificar? las siguientes entradas en el registro:
hkey_local_machine\software\microsoft\windows nt\currentversion
registeredowner=you are a victim of the
registeredorganization=world trade center
productname=w32.hllw.i-worm.wtc.03
hkey_current_user\software\microsoft\internet explorer\main
start page= windows \wtc32.scr
hkey_current_user\software\microsoft\windows\currentversion
wtcsnd=1
hkey_current_user\software\kazaa\localcontent
disablesharing=0
downloaddir=c:\program files\kazaa\my shared folder
dir0=0 :c:\windows\systm32
dir1=0 :c:\
seguidamente intentar? borrar todos los archivos que encuentre en:
c:\windows\system32\*.dll c:\windows\system32\*.ocx c:\windows\*.sys c:\*.* finalmente el gusano realizar? las siguientes acciones:
crear? la carpeta sups en la unidad c:\ y copiar? dentro de este el archivo autostart.bat como yyybp.bat.
sobrescribir? todos los archivos con la extensi?n .com, .exe y .scr que encuentre en las unidades y carpetas, con excepci?n de los que se encuentren en la misma ubicaci?n del gusano.
sobrescribir? todos los archivos con la extensi?n .bmp, .jpg, .mp3, .mpg, .rar, .wav y .zip que encuentre en las unidades y carpetas y les adicionar? una doble extensi?n .exe , con excepci?n de los que se encuentren en la misma ubicaci?n del gusano.
sobrescribir? todos los archivos con la extensi?n .htm, .html y .htt que encuentre en las unidades y carpetas con el contenido del archivo c:\microsoft nt help.html
sobrescribir? todos los archivos con la extensi?n .ai, .doc, .pif, .psd, .rtf y .txt que encuentre en las unidades y carpetas con el contenido del archivo c:\microsoft nt help.html, y les adicionara la doble extensi?n .htm
sobrescribir? todos los archivos con la extensi?n .bat que encuentre en las unidades y carpetas con el contenido del archivo autostart.bat
copiar? el archivo autostart.bat como:
c:\windows\start menu\programs\startup\cniad.bat c:\documents and settings\all users\start menu\programs\start up\ntfs.bat crear? la carpeta systm32 dentro de la carpeta windows, y se copiar? dentro de este con los siguientes nombres:
windows \systm32\18_britney_sucking_sex_ windows \systm32\teen_p**sy_hardcore_sex_ windows \systm32\xxx_christina_celebrities_pamela_sex_screensaver_ windows \systm32\xxx_teens_hot_gauge_aria_jennifer_sex_screensaver_ windows \systm32\f**king_hot_horny_screensaver_| windows \systm32\orgy_incest_illegal_sex_ los archivos pueden tener alguna de las siguientes extensiones:
.jpg.scr
.mpg.scr
.avi.scr


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo