• Sábado 21 de Diciembre de 2024, 11:20

Autor Tema:  Krynos.b  (Leído 1613 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Krynos.b
« en: Jueves 31 de Marzo de 2005, 18:22 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:30-03-2005
Última Actualización:30-03-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Krynos.B@P2P+MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 58368
Alias:W32/Krynos.B@mm (PerAntivirus), Win32/Chepe.B (Enciclopedia Virus), W32/Snorky.A.worm (Otros), WORM_KRYNOS.B (Trend Micro)
Detalles
Worm-Backdoor.W32/Krynos.B@P2P+MM utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviarse a todas las direcciones electrónicas incluidas en la Libreta de Contactos de Windows (WAB), y también a aquellas direcciones contenidas en ficheros con alguna de las siguientes extensiones:

    * HTM
    * TXT

Evita enviarse a las direcciones electrónicas que contengan alguna de las siguientes cadenas de texto:

    * @angelfire.com
    * @cisco.com
    * @cpan.org
    * @eff.org
    * @ethereal.com
    * @geocities.
    * @gnu.org
    * @hotmail
    * @iana
    * @lists.
    * @lucent.com
    * @msn.com
    * @perl.org
    * @python.org
    * @relay
    * @sun.com
    * @tcpdump.org
    * @yahoo
    * abuse
    * admin@
    * advertising@
    * announce
    * anyone
    * anywhere
    * aol.com
    * arin.
    * blockme
    * bsd.org
    * bugs@
    * cert.org
    * certs@
    * contact@
    * customer@
    * drsolomon
    * example
    * excite.com
    * f-prot
    * feedback@
    * google
    * grisoft.com
    * help@
    * ibm.com
    * info@
    * kaspersky
    * linux
    * lycos.com
    * master
    * mcafee
    * microsoft
    * mozilla
    * netscape
    * nobody
    * noreply
    * panda
    * rating@
    * ripe-
    * ripe.
    * root@
    * sales@
    * secur
    * sendmail
    * service@
    * sophos
    * sourceforge
    * submit
    * subscribe
    * support
    * symantec
    * user@
    * virus
    * whatever@
    * whoever@
    * yourname

El mensaje enviado utiliza la ingeniería social para hacerse pasar por un mensaje de actualización procedente de Microsoft.
Las características del correo enviado son las siguientes:

Remitente: www.google.com para asegurarse de que el equipo infectado esté conectado a Internet y en caso de estarlo, procede a realizar su auto-envío a las direcciones antes citadas.

Seguidamente, el gusano modifica el archivo HOSTS (en la ruta %System%\drivers\etc\hosts) para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus:

    * dispatch.mcafee.com
    * download.mcafee.com
    * f-secure.com
    * ftp.f-secure.com
    * ftp.sophos.com
    * kaspersky.com
    * kaspersky.ru
    * liveupdate.symantec.com
    * mast.mcafee.com
    * mcafee.com
    * rads.mcafee.com
    * securityresponse.symantec.com
    * service1.symantec.com
    * sophos.ch
    * sophos.com
    * symantec.com
    * update.symantec.com
    * updates.symantec.com
    * us.mcafee.com
    * viruslist.ru
    * www.avp.ch
    * www.avp.com
    * www.avp.ru
    * www.f-secure.com
    * www.kaspersky.com
    * www.kaspersky.ru
    * www.mcafee.com
    * www.mcafeehelp.com
    * www.sophos.ch
    * www.sophos.com
    * www.symantec.com
    * www.trendmicro.com
    * www.viruslist.ru

Para propagarse a través de las redes de intercambio de ficheros (P2P), libera una copia de sí mismo con el nombre Document.zip y se replica en las siguientes carpetas:

    * C:\My Downloads\
    * C:\Archivos de programa\BearShare\Shared\
    * C:\Archivos de programa\direct connect\received files\
    * C:\Archivos de programa\eDonkey2000\incoming\
    * C:\Archivos de programa\eMule\Incoming\
    * C:\Archivos de programa\gnucleus\downloads\
    * C:\Archivos de programa\gnucleus\downloads\incoming\
    * C:\Archivos de programa\grokster\my grokster\
    * C:\Archivos de programa\grokster\my shared folder\
    * C:\Archivos de programa\icq\shared files\
    * C:\Archivos de programa\KaZaa Lite\My Shared Folder\
    * C:\Archivos de programa\KaZaa\My Shared Folder\
    * C:\Archivos de programa\KMD\my shared folder\
    * C:\Archivos de programa\limeWire\shared\
    * C:\Archivos de programa\Morpheus\my shared folder\
    * C:\Archivos de programa\StreamCast\Morpheus\my shared folder\
    * C:\Programmi\BearShare\Shared\
    * C:\Programm\direct connect\received files\
    * C:\Programm\eDonkey2000\incoming\
    * C:\Programm\eMule\Incoming\
    * C:\Programm\gnucleus\downloads\
    * C:\Programm\gnucleus\downloads\incoming\
    * C:\Programm\grokster\my grokster\
    * C:\Programm\grokster\my shared folder\
    * C:\Programm\icq\shared files\
    * C:\Programm\KaZaa Lite\My Shared Folder\
    * C:\Programm\KaZaa\My Shared Folder\
    * C:\Programm\KMD\my shared folder\
    * C:\Programm\limeWire\shared\
    * C:\Programm\Morpheus\my shared folder\
    * C:\Programm\StreamCast\Morpheus\my shared folder\

Cuando actúa como puerta trasera, se conecta a un determinado canal de del IRC cuyo nombre se encuentra cifrado dentro del código del virus, y desde el cual recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes acciones:

    * Capturar archivos y enviarlos al intruso.
    * Descargar, ejecutar o borrar archivos.
    * Listar archivos dentro de una carpeta.
    * Desconectar de Internet al usuario activo.
    * Crear o borrar carpetas.

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * update.zip
    * Document

Asunto del mensaje (virus que llegan por correo)

    * Microsoft Security Update
El pasado son solo recuerdos, el futuro son solo sueños