• Domingo 22 de Diciembre de 2024, 15:09

Autor Tema:  Msnfunny  (Leído 1871 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Msnfunny
« en: Sábado 1 de Diciembre de 2007, 14:02 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:28-11-2007
Última Actualización:28-11-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:
Alto
Nombre completo: Worm.W32/Msnfunny.D@IM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Tamaño (bytes): 559104
Alias:W32/MSNFunny.D.worm (Panda Software)
Detalles
Efectos

Worm.W32/Msnfunny.D@IMdeshabilita el centro de seguridad de Windows, perdiendose el control que este realiza sobre la disponibilidad de nuevas actualizaciones del sistema Windows y la supervisión sobre la existencia y actualización de los programas de antivirus y de cortafuegos.

Además deshabilita la protección de ficheros Windows (WFP) y el correspondiente chequeo de estos fichero cuando se inicia el sistema. Este sistema de protección evita la modificación de los ficheros del sistema Windows, restaurando el fichero en el caso de modificación del fichero.

También está programado para ejecutar los siguientes servicios:

    * MSN Messenger: al que utiliza para propagarse a otros sistemas.
    * Remote Registry: para conseguir acceso remoto al registro de Windows.
    * Telnet: que permite el acceso remoto al sistema.

Incluye una funcionalidad para borrar los recursos compartidos de las unidades locales del sistema comprometido.

Método de Infección

Worm.W32/Msnfunny.D@IMcrea los siguientes ficheros en el sistema comprometido:

    * %Windows%\MSIMN.EXE
    * %Windows%\PARTY_JPG.ZIP

Con el fin de deshabilitar la protección de ficheros de Windows modifica el contenido del siguiente fichero:

    * %System%\SFC_OS.DLL

Además borra el contenido de los siguientes ficheros del sistema comprometido:

    * %System%\TFTP.EXE
    * %System%\FTP.EXE
    * %System%\DLLCACHE\TFTP.EXE
    * %System%\DLLCACHE\FTP.EXE

Nota: %Windows% se corresponde con el directorio de instalación del sistema operativo Windows.
%System% se corresponde con el directorio de sistema del sistema operativo Windows.

Worm.W32/Msnfunny.D@IM crea las siguientes entradas en el registro de Windows:

KEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\
Run msimn.exe = %windows%\msimn.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System DisableRegistryTools = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System DisableTaskMgr = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\
Winlogon SFCScan = 00, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center Updates
DisableNotify = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center
AntiVirusDisableNotify = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center
FirewallDisableNotify = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center
AntiVirusOverride = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center FirewallOverride = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ WindowsFirewall\
DomainProfile EnableFirewall = 00000000
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ WindowsFirewall\
StandardProfile EnableFirewall = 00000000
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\
WindowsUpdate DoNotAllowXPSP2 = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentVersion\WindowsUpdate\
Auto Update AUOptions = 00000001

También modifica las siguientes entradas del registro de Window:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\
Winlogon Shell = Explorer.exe %windir%\msimn.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\
Winlogon SFCDisable = 9D, FF, FF, FF

Además elimina de la siguiente rama del registro:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Cualquier entrada que contenga alguna de las siguientes cadenas:

    * i11r54n4.exe
    * Bagle.X
    * rate.exe
    * winsys.exe
    * Bagle.k
    * irun4.exe
    * Bagle.j
    * bbeagle.exe
    * Bagle.a
    * d3dupdate.exe
    * teekids.exe
    * W32.Blaster.C
    * Penis32.exe
    * W32.Blaster.B
    * MSBLAST.exe
    * W32.Blaster
    * Bagle.v
    * Netsky.r
    * Mydoom.h
    * mscvb32.exe
    * ssate.exe
    * Sobig.c

Este borrado deshabilita la ejecución automática al inicial el sistema de otros códigos maliciosos cuyos nombres contienen dichas cadenas.
Método de Propagación

Worm.W32/Msnfunny.D@IMutiliza para su propagación el envío de mensajes mediante el programa MSNMessenger a todos los contactos que se encuentran activos en el momento. Los mensajes contienen el fichero comprimido PARTY_JPG.ZIP y el mensaje, en diferentes idiomas, puede ser uno de los siguientes:

    * el lol mi hermana quisiera que le enviara este
    * lbum de foto
    * vengo de fi este foto
    * Hey i que hace el
    * lbum de foto! Si vea el loL del em
    * El tipo, me acepta por favor su solamente
    * lbum de foto: (!
    * looooook :P
    * loooooooooooool :D
    * lol he looks weird on this photo
    * omg check this out man this is funny
    * lol you got to see this
    * eeeh c mes tof :P
    * c seulement mes tof de derniers vacances
    * tu dois voire les tof de notre bande
    * comment est-ce que je regarde sur cette photo ?
    * le lol ceci est dr
    * ma soeur a voulu que tu regarde ca
    * faut de la reproduction sonore avez-vous vu ceci ?
    * lol meine Schwester w
    * nscht mich Ihnen dieses Fotoalbum schicken
    * Geck, nehmen bitte sein nur mich Fotoalbum an: (!
    * chten mein neues Fotoalbum sehen?
    * avete ottenuto vedere questo relativo cos
    * divertente
    * come lo pensate osservi qui
    * sguardo di lol a questo
    * controllo di distorsione di velocit
    * questo fuori
    * estes s
    * o realmente agrad
    * veis :P
    * wow voc
    * viu este?
    * como voc
    * gosta de me nesta foto
    * ou ver este seu assim engra
    * hoe vind je dit er uit zien ?
    * hoe vind je dit ?
    * echt erg kijk dan
    * zo hee moet je dit zien echt niet normaal
    * zo moet je me hier op zien lol
    * lol he hoe vind je me hier op
    * dessa
    * r egentligen trevliga: P
    * gyckel m
    * ste se dig detta fotografera
    * du fick se detta dess galet :P
    * Bu resimler nasil sence bir bakarmisin :)
    * su komik resimlerime baksana :D
    * bak :P
    * Kiz kardesim bunlari sana yollamami s
    * yledi ;)
    * bu resimler space i
    * in nasil
    * Space ime bun resimleri eklesem sence nasil olur

El fichero PARTY_JPG.ZIP contiene un fichero ejecutable que es una copia de Worm.W32/Msnfunny.D@IM.
El pasado son solo recuerdos, el futuro son solo sueños