w32/zafi.d@mm

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/zafi.d@mm

w32/erkez.d@mm, zafi.d, w32.erkez.d, email-worm.win32.zafi.d
tipo: gusano
tama?o: 11,745 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus v00131 al 14/12/2004
w32/zafi.d@mm, es un gusano masivo de e-mail, se env?a como un saludo navide?o. utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en la libreta de direcciones de windows y en archivos con las siguientes extensiones, .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml y .pmr, ftp y inb.
el gusano no se env?a a si mismo a direcciones que en su nombre contengan los siguientes textos:
yaho google win use info help admi webm micro msn hotm suppor syman viru trend secur panda cafee sopho kasper características del mensaje de e-mail:
para: (e-mail spoofing)
asunto: (cualquiera de las siguientes frases:)
merry christmas! boldog karacsony... feliz navidad! ecard.ru christmas kort! christmas vykort! christmas postkort! christmas postikorti! christmas - kartki! weihnachten card. prettige kerstdagen! christmas pohlednice joyeux noel! buon natale! cuerpo: (cualquiera de los siguientes:)
happy hollydays!
:) [remitente] kellemes unnepeket!
:) [remitente] feliz navidad!
:) [remitente] glaedeling jul!
:) [remitente] god jul!
:) [remitente] iloista joulua!
:) [remitente] naulieji metai!
:) [remitente] wesolych swiat!
:) [remitente] fr?hliche weihnachten!
:) [remitente] prettige kerstdagen!
:) [remitente] vesel? v?noce!
:) [remitente] joyeux noel!
:) [remitente] buon natale!
:) [remitente] :) [remitente] al termino del mensaje se a?ade una linea y el siguiente texto:
http://[nombre del dominio del e-mail]/[nombre del archivo adjunto sin extension] - picture size: 11 kb, mail: +ok
ejemplo:
* happy.... ....hollydays! *
:) [remitente] ___________________________________________________________________
http://sudominio.com/postcard.christmas.index.jpg3681 - picture size: 11 kb, mail: +ok
archivo adjunto: el archivo adjunto es aleatorio y tiene las siguientes caracteristicas:
ejemplos:
link.postcard.jpg4116
link.postcard.php4525
link.postcard.htm8126
link.postcard.christmas.jpg8776
link.postcard.christmas.jpg1474
postcard.htm2615
postcard.index.php5507
postcard.christmas.gif5854
postcard.christmas.index.gif0603
la extensi?n de los archivos puede variar entre: zip, cmd, bat, com, pif
---------------------------
cuando el gusano se ejecuta se copia a si mismo en:
system \norton update.exe tambi?n crea m?ltiples copias dentro de la carpeta system con las siguientes caracter?sticas :
system \ [########].dll donde: [#] es un car?cter aleatorio
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea una entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
wxp4= system \norton update.exe
tambi?n crea multiples entradas en el registro:
hkey_local_machine\software\microsoft\wxp4
finaliza los procesos que contengan los sigueintes nombres:
reged msconfig task luego buscar? carpetas en el computador atacado, cuyo nombre contengan los siguientes textos share, upload o music, si encuentra alguna, este se copiar? a si mismo como:
icq 2005a new!.exe
winamp 5.7 new!.exe
(entre otros nombres de archivos)
ademas abre el puerto 8181 a la espera de una conexión, si llega a realizar una conexión un atacante tomaría el control de la computadora pudiendo llegar a realizar lo siguiente:
- copiar, mover, borrar, cargar o descargar archivos.
- visualizar los procesos activos.
- apagar el sistema.
- eliminar cualquiera de los procesos activos.
- abrir o cerrar la bandeja de la unidad de cd.
- etc.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo