Lunes 23 de Diciembre de 2024, 04:34
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Krynos.b
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Krynos.b (Leído 1616 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Krynos.b
«
en:
Jueves 31 de Marzo de 2005, 18:22 »
0
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:30-03-2005
Última Actualización:30-03-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Krynos.B@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 58368
Alias:W32/Krynos.B@mm (PerAntivirus), Win32/Chepe.B (Enciclopedia Virus), W32/Snorky.A.worm (Otros), WORM_KRYNOS.B (Trend Micro)
Detalles
Worm-Backdoor.W32/Krynos.B@P2P+MM utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviarse a todas las direcciones electrónicas incluidas en la Libreta de Contactos de Windows (WAB), y también a aquellas direcciones contenidas en ficheros con alguna de las siguientes extensiones:
* HTM
* TXT
Evita enviarse a las direcciones electrónicas que contengan alguna de las siguientes cadenas de texto:
* @angelfire.com
* @cisco.com
* @cpan.org
* @eff.org
* @ethereal.com
* @geocities.
* @gnu.org
* @hotmail
* @iana
* @lists.
* @lucent.com
* @msn.com
* @perl.org
* @python.org
* @relay
* @sun.com
* @tcpdump.org
* @yahoo
* abuse
* admin@
* advertising@
* announce
* anyone
* anywhere
* aol.com
* arin.
* blockme
* bsd.org
* bugs@
* cert.org
* certs@
* contact@
* customer@
* drsolomon
* example
* excite.com
* f-prot
* feedback@
* google
* grisoft.com
* help@
* ibm.com
* info@
* kaspersky
* linux
* lycos.com
* master
* mcafee
* microsoft
* mozilla
* netscape
* nobody
* noreply
* panda
* rating@
* ripe-
* ripe.
* root@
* sales@
* secur
* sendmail
* service@
* sophos
* sourceforge
* submit
* subscribe
* support
* symantec
* user@
* virus
* whatever@
* whoever@
* yourname
El mensaje enviado utiliza la ingeniería social para hacerse pasar por un mensaje de actualización procedente de Microsoft.
Las características del correo enviado son las siguientes:
Remitente:
www.google.com
para asegurarse de que el equipo infectado esté conectado a Internet y en caso de estarlo, procede a realizar su auto-envío a las direcciones antes citadas.
Seguidamente, el gusano modifica el archivo HOSTS (en la ruta %System%\drivers\etc\hosts) para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus:
* dispatch.mcafee.com
* download.mcafee.com
* f-secure.com
* ftp.f-secure.com
* ftp.sophos.com
* kaspersky.com
* kaspersky.ru
* liveupdate.symantec.com
* mast.mcafee.com
* mcafee.com
* rads.mcafee.com
* securityresponse.symantec.com
* service1.symantec.com
* sophos.ch
* sophos.com
* symantec.com
* update.symantec.com
* updates.symantec.com
* us.mcafee.com
* viruslist.ru
*
www.avp.ch
*
www.avp.com
*
www.avp.ru
*
www.f-secure.com
*
www.kaspersky.com
*
www.kaspersky.ru
*
www.mcafee.com
*
www.mcafeehelp.com
*
www.sophos.ch
*
www.sophos.com
*
www.symantec.com
*
www.trendmicro.com
*
www.viruslist.ru
Para propagarse a través de las redes de intercambio de ficheros (P2P), libera una copia de sí mismo con el nombre Document.zip y se replica en las siguientes carpetas:
* C:\My Downloads\
* C:\Archivos de programa\BearShare\Shared\
* C:\Archivos de programa\direct connect\received files\
* C:\Archivos de programa\eDonkey2000\incoming\
* C:\Archivos de programa\eMule\Incoming\
* C:\Archivos de programa\gnucleus\downloads\
* C:\Archivos de programa\gnucleus\downloads\incoming\
* C:\Archivos de programa\grokster\my grokster\
* C:\Archivos de programa\grokster\my shared folder\
* C:\Archivos de programa\icq\shared files\
* C:\Archivos de programa\KaZaa Lite\My Shared Folder\
* C:\Archivos de programa\KaZaa\My Shared Folder\
* C:\Archivos de programa\KMD\my shared folder\
* C:\Archivos de programa\limeWire\shared\
* C:\Archivos de programa\Morpheus\my shared folder\
* C:\Archivos de programa\StreamCast\Morpheus\my shared folder\
* C:\Programmi\BearShare\Shared\
* C:\Programm\direct connect\received files\
* C:\Programm\eDonkey2000\incoming\
* C:\Programm\eMule\Incoming\
* C:\Programm\gnucleus\downloads\
* C:\Programm\gnucleus\downloads\incoming\
* C:\Programm\grokster\my grokster\
* C:\Programm\grokster\my shared folder\
* C:\Programm\icq\shared files\
* C:\Programm\KaZaa Lite\My Shared Folder\
* C:\Programm\KaZaa\My Shared Folder\
* C:\Programm\KMD\my shared folder\
* C:\Programm\limeWire\shared\
* C:\Programm\Morpheus\my shared folder\
* C:\Programm\StreamCast\Morpheus\my shared folder\
Cuando actúa como puerta trasera, se conecta a un determinado canal de del IRC cuyo nombre se encuentra cifrado dentro del código del virus, y desde el cual recibirá comandos e instrucciones, pudiendo realizar entre otras, las siguientes acciones:
* Capturar archivos y enviarlos al intruso.
* Descargar, ejecutar o borrar archivos.
* Listar archivos dentro de una carpeta.
* Desconectar de Internet al usuario activo.
* Crear o borrar carpetas.
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* update.zip
* Document
Asunto del mensaje (virus que llegan por correo)
* Microsoft Security Update
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Krynos.b