SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Domingo 15 de Enero de 2006, 16:06
-
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:14-01-2006
Última Actualización:15-01-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Feebs.N@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño comprimido (bytes): 55946
Alias:WORM_FEEBS.N (Trend Micro), WORM_FEEBS.T (Trend Micro), W32.Feebs.E@mm (Symantec), W32.Feebs.D@mm (Symantec)
Detalles
Instalación
El gusano llega hasa la máquina infectada al ser descargado desde internet por otro malware.
Cuando se ejecuta, descarga los siguientes ficheros en la carpeta del sistema de Windows:
Ms{2 letras al azar}
ms{2 letras al azar}.exe
Ms{2 letras al azar}32.dll También detectado como Feebs.N
Crea la siguiente entrada en el registro para tratar de ocultar su propio proceso ante el administrador de tareas de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{random CLSID}\InprocServer32
@ = %System%\Ms{two random letters}32.dll
(Nota: %System% representa la carpeta del sistema de Windows. Normalmente será C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT and 2000, o C:\Windows\System32 en Windows XP y Server 2003.)
También crea las siguientes entradas como parte de su rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MS{2 letras al azar}\dat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MS{2 letras al azar}\sdat
Propagación por correo
Utiliza su propio motor de envío SMTP para enviar correos con un fichero adjunto con extensión .ZIP que contiene una copia del gusano sobre todas las direcciones de correo que el gusano haya localizado en el sistema infectado.
El mensaje tendrá las siguientes características:
Asunto:Será una combinación de palabras de los siguiente grupos:
Grupo 1
Encrypted
Extended
Protected
Secure
Grupo 2
E-mail
Html
Mail
Message
Grupo 3
{Vavío}
From {Nombre de dominio falso} user
Service
Service {Nombre de dominio falso}
System
Remitente Será compuesto en una cadena de texto en la forma:
Id{número aleatorio} {alguno de los siguientes nombres de dominio}
@aol.com
@gmail.com
@hotmail.com
@msn.com
@yahoo.com
Mensaje: Será el siguiente:
Subject: happy new year
ID: {aleatorio}
Password: {aleatorio}
Message is attached.
Best Regards,
{El mismo nombre que el remitente},
{El mismo dominio que el remitente}
Adjunto:Será alguno de los siguientes nombres de fichero
data.zip
mail.zip
message.zip
msg.zip
Propagación por redes P2P
Para conseguir propagarse a través de las redes de compartición de fichero se copiará con alguno de los siguientes nombre en las carpetas compartidas de las aplicaciones P2P:
3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
ACDSee_9_new!_full+crack.zip
Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
Ahead_Nero_8_new!_full+crack.zip
DivX_7.0_new!_full+crack.zip
ICQ_2006_new!_full+crack.zip
Internet_Explorer_7_new!_full+crack.zip
Kazaa_4_new!_full+crack.zip
Longhorn_new!_full+crack.zip
Microsoft_Office_2006_new!_full+crack.zip
winamp_5.2_new!_full+crack.zip