Detalles del mensaje y su contagio Detalles de los mensajes: De: [remitente falso, creado con los datos de la siguiente lista] accoun acketst alice andrew anyone arin. be_loyal: berkeley borlan brenda brent brian certific claudia contact david debby example feste george gold-certs google helen hotmail ibm.com icrosof icrosoft inpris isc.o isi.e james jerry jimmy julie kernel kevin linda linux listserv maria michael mit.e mozilla mydomai nobody noone nothing ntivi panda peter postmaster privacy rating rfc-ed ripe. robert ruslis samples sandra secur sendmail service smith somebody someone sopho steve submit support tanford.e the.bat usenet utgers.ed webmaster Asunto: [uno de los siguientes] hello hi Mail Delivery System Mail Transaction Failed Texto del mensaje: [uno de los siguientes] - It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment. - Mail failed. For further assistance, please contact! - pass - The message contains Unicode characters and has been sent as a binary attachment. Datos adjuntos: [nombre]+[extensión] Donde [nombre] es uno de los siguientes: body data doc document file message readme test text Y [extensión] una de las siguientes: .com .exe .pif .rar .scr También puede incluir adjuntos con extensión .ZIP y cualquier nombre. Además, se envía como respuesta a mensajes no leídos encontrados en la bandeja
de entrada del Outlook, Outlook Express y otros clientes de correo compatibles. En este caso, estos son los detalles del mensaje: Asunto: Re: [asunto del mensaje que se responde] Texto del mensaje: [texto del mensaje que se responde] [nombre dominio] account auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE [nombre dominio] now! < Donde [nombre dominio] es el mismo dominio del destinatario. Datos adjuntos: [uno de los siguientes] Britney spears nude.exe.txt.exe Deutsch BloodPatch!.exe dreamweaver MX (crack).exe DSL Modem Uncapper.rar.exe How to Crack all gamez.exe I am For u.doc.exe Industry Giant II.exe joke.pif Macromedia Flash.scr Me_nude.AVI.pif s3msong.MP3.pif SETUP.EXE Sex in Office.rm.scr Shakira.zip.exe StarWars2 - CloneAttack.rm.scr the hardcore game-.pif WinExec Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada: \autorun.inf \cdrom.com c:\windows\cdplay.exe c:\windows\exploier.exe c:\windows\system\hxdef.exe c:\windows\system\iexplore.exe c:\windows\system\iexplorer.exe c:\windows\system\kernel66.dll c:\windows\system\lmmib20.dll c:\windows\system\msjdbc11.dll c:\windows\system\mssign30.dll c:\windows\system\netmeeting.exe c:\windows\system\odbc16.dll c:\windows\system\ravmond.exe c:\windows\system\spollsv.exe c:\windows\system\tkbellexe.exe c:\windows\system\update_ob.exe El archivo KERNEL66.DLL es copiado con los atributos de solo lectura,
oculto y del sistema (+R +H +S). NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar
de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system32", etc.). También genera las siguientes entradas en el registro para
autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Hardware Profile = c:\windows\system\hxdef.exe Microsoft Associates, Inc. = iexplorer.exe Protected Storage = rundll32.exe mssign30.dll ondll_reg Shell Extension = c:\windows\system\spollsv.exe VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg WinHelp = c:\windows\system\tkbellexe.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices COM++ System = exploier.exe SystemTra = c:\windows\cdplay.exe En equipos con Windows NT, 2000 y XP, crea también las siguientes entradas: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ run = ravmond.exe Crea un recurso compartido en red con el siguiente nombre: Media El mismo está mapeado a la siguiente ubicación: c:\windows\media Se copia en dicha carpeta con los siguientes nombres: autoexec.bat Cain.pif client.exe Documents and Settings.txt.exe findpass.exe i386.exe Internet Explorer.bat Microsoft Office.exe mmc.exe MSDN.ZIP.pif Support Tools.exe Windows Media Player.zip.exe WindowsUpdate.pif winhlp32.exe WinRAR.exe xcopy.exe Crea dos archivos llamados "CDROM.COM" y "AUTORUN.INF" respectivamente
, y los copia en el directorio raíz de todas las unidades de disco excepto CDROM
y removibles. El archivo AUTORUN.INF contiene las instrucciones para ejecutar CDROM.COM. Crea un archivo con alguno de los siguientes nombres en el raíz de todos las
unidades de discos, excepto A y B: bak.rar bak.zip important.rar important.zip letter.rar letter.zip pass.rar pass.zip setup.rar setup.zip work.rar work.zip Cada archivo comprimido contiene a su vez, alguno de los siguientes archivos: book.com book.exe book.pif book.scr email.com email.exe email.pif email.scr important.com important.exe important.pif important.scr password.com password.exe password.pif password.scr setup.com setup.exe setup.pif setup.scr work.com work.exe work.pif work.scr El gusano también se registra a si mismo como un servicio de nombre "_reg": HKLM\System\ControlSet001\Services\_reg Image Path = Rundll32.exe msjdbc11.dll ondll_server HKLM\System\CurrentControlSet\Services\_reg Image Path = Rundll32.exe msjdbc11.dll ondll_server Escucha por un puerto TCP al azar. El proceso de acceso remoto por puerta
trasera (backdoor), roba información del sistema comprometido. Esta información
es almacenada por el troyano en el siguiente archivo: c:\netlog.txt Luego, la misma puede ser enviada vía correo electrónico a un usuario remoto. También examina todas las máquinas de la red local (si existiera), e intenta
logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas: !@#$% !@#$% !@#$% !@#$% 000000 00000000 111111 11111111 121212 123123 12345 123456 1234567 12345678 123456789 123abc 123asd 54321 654321 666666 888888 88888888 abc123 abcdef abcdefg Admin admin admin123 Administrator administrator alpha asdfgh computer database enable godblessyou guest Guest Internet login Login mypass mypass123 mypc123 oracle owner passwd password Password pw123 secret server super sybase temp123 test123 El gusano también intenta logearse como administrador si la cuenta no tiene contraseña. Si obtiene éxito, se copia a si mismo como NETMANAGER32.EXE en la siguiente ubicación: \\[nombre computadora]\admin$\system32\netmanager32.exe También inicia un servicio llamado "Windows Management NetWork Service
Extensions" que es mapeado como "netmanager32.exe -exe_start". El gusano utiliza un script para crear y ejecutar un componente FTP, el cuá
l explota la vulnerabilidad RPC/DCOM de Windows, para descargar
una copia del propio gusano en otros equipos, en un archivo llamado
HXDEF.EXE. El gusano se ejecuta automáticamente después que se ha descargado. Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas: mcafee ravmon.exe rfw.exe rising skynet symantec Volver