SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Martes 22 de Mayo de 2007, 20:45
-
Información extraida de Alerta AntiVirus (http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6875)
Datos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:22-05-2007
Última Actualización:22-05-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/MsnPhoto@IM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:W32/MsnPhoto.A.worm (Panda Software), Win32/VB.NKY (ESET (NOD32))
Detalles
MsnPhoto realiza las siguientes acciones:
* Deshabilita el Administrador de Tareas.
* Descarga varias copias de sí mismo desde la página web http://usuarios.lyc (http://usuarios.lyc)[...]ito32.
Crea los siguientes archivos:
* SP2.EXE, en el directorio de sistema de Windows.
* FOTOS_POSSE.ZIP y SERVER.EXE, en el directorio raíz de la unidad C:.
Estos tres archivos son copias del gusano.
MsnPhoto crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
WindowsSp2 = %sysdir%\sp2.exe
Donde %sysdir% es el directorio de sistema de Windows.Mediante esta entrada, consigue ejecutarse cada vez que Windows se inicia.
MsnPhoto modifica la siguiente entrada del Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskmgr = 0
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskmgr = 1
Mediante esta modificación, MsnPhoto.A deshabilita el Administrador de tareas.
MsnPhoto se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:
* El usuario recibe un mensaje instantáneo instando al usuario a descargar un archivo ZIP con fotos (FOTOS_POSSE.ZIP).
* El archivo ZIP contiene un archivo ejecutable que tiene el icono de una imagen para engañar al usuario.
* Si el usuario descomprime el archivo FOTOS_POSSE.ZIP y ejecuta el archivo YO_POSSE_007.JPG, se descarga una copia de MsnPhoto en el ordenador afectado.
* Después, cierra las ventanas del MSN Messenger que el usuario tenga abiertas.
* MsnPhoto.A envía este mensaje a todos los contactos que estén conectados en ese momento.