Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 22 de mayo de 2007

MSN CON BICHOS
Desde el viernes pasado se están propagando nuevas variantes de gusano por MSN. La particularidad de estos especímenes radica en que sus textos están en castellano habiendo gran cantidad de usuarios que están cayendo en la trampa de "mirá mis fotos que me saqué el fin de semana".

Veamos de que se trata. Nos llega un mensaje proveniente de un amigo (ya infectado) a nuestro MSN diciendo que nos bajemos sus fotos:


Como podemos ver en la imagen, el gusano también funciona en el Windows Messenger que instala Windows por defecto ya que sólo se utiliza el protocolo de envío de MSN independientemente del cliente de mensajaría utilizado (también funciona con Gaim, trilliam, etc).

El lugar desde donde se descarga el gusano http://usuarios.lycos.es/shark***/*******.zip ya ha sido dado de baja pero seguramente aparecerán otras versiones del gusano con otras direcciones.

Luego de ello, si caemos en la trampa, descargamos y ejecutamos el archivo, seremos infectados y ayudaremos a la propagación de este gusano.


Como podemos ver el gusano, que ha sido desarrollado en Visual Basic 6.0, se asegura su ejecución la próxima vez que se inicie Windows grabandose a sí mismo como "C:\WINDOWS\System32\sp2.exe".


Curiosidad: El autor del gusano parece hacerse llamar "FireAngel" y guarda sus creaciones en
C:\Documents and Settings\FireAngel\Mis documentos\Folders\códigos vb6\other infeccion worm\Project1.vbp
Luego de ejecutado "sp2.exe", deshabilita el administrador de tareas para evitar que el usuario pueda ver los procesos activos:

Esto lo logra modificando la clave del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr al valor "1"

Se puede eliminar el gusano manualmente eliminando la clave Run del registro, modificando el valor del "DisableTaskmgr" a 0 y por último borrando el archivo "sp2.exe" mencionado.

Algunos Antivirus aún no lo detectan y esto puede deberse a la cantidad de variantes que hay actualmente.

Por eso NO ejecutes nada que no conozcas.

Fuente: www.segu-info.com.ar

0 comentarios:

Publicar un comentario