1 respuesta
Respuesta de luisorre
1
W32.Beagle.C@mm
Descubierto encendido:
De febrero el 27 de 2004
Cuando se ejecuta W32.Beagle.C@mm, realiza las acciones siguientes:
Comprueba la fecha de la computadora, y si es después de marcha de la 14 de 2004, el gusano saldrá.
Crea un mutex nombrado el "imain_mutex," que permite que solamente un caso del gusano se ejecute.
Si el gusano no se ejecuta de %System%eadme.exe, lanzará notepad.exe, que es el editor de textos de la libreta.
--------------------------------------------------------------------------------
Nota: %System% es una variable. El gusano localiza la carpeta del sistema y se copia a esa localización. Por defecto, éste es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
--------------------------------------------------------------------------------
Copias sí mismo como %System%eadme.exe.
Crea los archivos siguientes:
%System%onde.exe (18.944 octetos): Archivo del DLL, módulo del masa-anuncio publicitario, detectado como W32.Beagle.A@mm
%System%doc.exe (1.536 octetos): Archivo del DLL, el cargador de onde.exe
%System%eadme.exeopen (15.994 octetos): Archivo del CIERRE RELÁMPAGO
Inyecta onde.exe como un DLL en el espacio de dirección del proceso de explorer.exe. Este DLL realiza el correo total.
Agrega el valor:
"gouday.exe"="%System%eadme.exe"
A la llave del registro:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
De modo que W32.Beagle.C@mm funcione cuando usted comienza Windows.
Agrega los valores:
"uid" = " [ valor al azar ]"
"puerto" = el " 2745"
"frun" = "1"
a la llave del registro:
HKEY_CURRENT_USERSOFTWAREDateTime2
El atacante utiliza el valor al azar insertado en el valor del "uid" como identificador único.
Abre un backdoor en el puerto 2745 del TCP.
Si un atacante envía un mensaje de datos especialmente ajustado a formato al puerto, el gusano permitirá que un archivo arbitrario sea descargado a la carpeta del %Windir%. Este archivo será ahorrado como %Windir%iuplda<x>.exe, donde está una cadena < x > al azar de caracteres.
Envía el HTTP CONSIGUEN peticiones a los sitios siguientes de la tela en el puerto 80 del TCP:
Permail. Uni-muenster. De
www.songtext.net/de
www.sportscheck.de
La petición del CONSEGUIR incluye el número de acceso en que la computadora infectada escucha, y el número de la identificación ahorrado en la llave del "uid" en el registro de Windows. También, conectando con el web server, el IP ADDRESS es enviado.
Procura terminar los procesos siguientes, que aparecen ser responsables de poner al día las firmas de los varios programas del antivirus:
atupdater.exe
Avwupd32.exe
avpupd.exe
luall.exe
drwebupw.exe
icssuppnt.exe
Icsupp95.exe
UPDATE.EXE
nupgrade.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avxquar.exe
cfiaudit.exe
mcupdate.exe
nupgrade.exe
outpost.exe
avltmain.exe
Explora las compulsiones locales para las direcciones del email en los archivos con las extensiones siguientes:
Wab
txt
htm
html
dbx
Mdx
Eml
Nch
Mmf
Ods
Cfg
asp
php
Pl
Adb
Sht
Utiliza su propio motor del smtp para enviarse a las direcciones del email encontradas en esos archivos. Este gusano contiene su propia rutina de MIME-codificacio'n, y compondrá el email en memoria y le lo enviará a todas las direcciones del email los hallazgos.
El email tiene las características siguientes:
De: (spoofed)
Tema: (uno del siguiente)
Departamento de cuentas
¡Ahtung!
Camila
Informe de actividad diario
Flayers entre nosotros
Libertad para cada uno
Del Pelo-cortador
De mí
Salude el día
Precio-lista de los dispositivos de hardware
Hola mi amigo
¡Hi!
Máquina de hilar
Jessica
Buscar el informe
María
Toronjil
Incomings mensuales sumarios
Nueva Precio-lista
Precio
Lista de precios
Pricelist
Precio-lista
Propensión a la servidumbre
Confirmación del registro
La cuenta
El empleado
El resumen
El gobierno de los E.E.U.U. suprime el castigo capital
Informe de actividad semanal
Pozo...
Le despiden
¿Usted realmente me ama? Él él
Cuerpo: (vacío)
Accesorio: < characters>.exe al azar dentro de un archivo del zip
El gusano no enviará ninguna mensajes del email a las direcciones que contienen cualesquiera de las secuencias siguientes:
Ch
@hotmail.com
@msn.com
@microsoft
@avp.
Noreply
Local
Raíz @
Postmaster @
El exe utilizará el icono siguiente en una tentativa de engañar a usuarios en la creencia de ella es un Microsoft sobresale la hoja de trabajo:
Descubierto encendido:
De febrero el 27 de 2004
Cuando se ejecuta W32.Beagle.C@mm, realiza las acciones siguientes:
Comprueba la fecha de la computadora, y si es después de marcha de la 14 de 2004, el gusano saldrá.
Crea un mutex nombrado el "imain_mutex," que permite que solamente un caso del gusano se ejecute.
Si el gusano no se ejecuta de %System%eadme.exe, lanzará notepad.exe, que es el editor de textos de la libreta.
--------------------------------------------------------------------------------
Nota: %System% es una variable. El gusano localiza la carpeta del sistema y se copia a esa localización. Por defecto, éste es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
--------------------------------------------------------------------------------
Copias sí mismo como %System%eadme.exe.
Crea los archivos siguientes:
%System%onde.exe (18.944 octetos): Archivo del DLL, módulo del masa-anuncio publicitario, detectado como W32.Beagle.A@mm
%System%doc.exe (1.536 octetos): Archivo del DLL, el cargador de onde.exe
%System%eadme.exeopen (15.994 octetos): Archivo del CIERRE RELÁMPAGO
Inyecta onde.exe como un DLL en el espacio de dirección del proceso de explorer.exe. Este DLL realiza el correo total.
Agrega el valor:
"gouday.exe"="%System%eadme.exe"
A la llave del registro:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
De modo que W32.Beagle.C@mm funcione cuando usted comienza Windows.
Agrega los valores:
"uid" = " [ valor al azar ]"
"puerto" = el " 2745"
"frun" = "1"
a la llave del registro:
HKEY_CURRENT_USERSOFTWAREDateTime2
El atacante utiliza el valor al azar insertado en el valor del "uid" como identificador único.
Abre un backdoor en el puerto 2745 del TCP.
Si un atacante envía un mensaje de datos especialmente ajustado a formato al puerto, el gusano permitirá que un archivo arbitrario sea descargado a la carpeta del %Windir%. Este archivo será ahorrado como %Windir%iuplda<x>.exe, donde está una cadena < x > al azar de caracteres.
Envía el HTTP CONSIGUEN peticiones a los sitios siguientes de la tela en el puerto 80 del TCP:
Permail. Uni-muenster. De
www.songtext.net/de
www.sportscheck.de
La petición del CONSEGUIR incluye el número de acceso en que la computadora infectada escucha, y el número de la identificación ahorrado en la llave del "uid" en el registro de Windows. También, conectando con el web server, el IP ADDRESS es enviado.
Procura terminar los procesos siguientes, que aparecen ser responsables de poner al día las firmas de los varios programas del antivirus:
atupdater.exe
Avwupd32.exe
avpupd.exe
luall.exe
drwebupw.exe
icssuppnt.exe
Icsupp95.exe
UPDATE.EXE
nupgrade.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avxquar.exe
cfiaudit.exe
mcupdate.exe
nupgrade.exe
outpost.exe
avltmain.exe
Explora las compulsiones locales para las direcciones del email en los archivos con las extensiones siguientes:
Wab
txt
htm
html
dbx
Mdx
Eml
Nch
Mmf
Ods
Cfg
asp
php
Pl
Adb
Sht
Utiliza su propio motor del smtp para enviarse a las direcciones del email encontradas en esos archivos. Este gusano contiene su propia rutina de MIME-codificacio'n, y compondrá el email en memoria y le lo enviará a todas las direcciones del email los hallazgos.
El email tiene las características siguientes:
De: (spoofed)
Tema: (uno del siguiente)
Departamento de cuentas
¡Ahtung!
Camila
Informe de actividad diario
Flayers entre nosotros
Libertad para cada uno
Del Pelo-cortador
De mí
Salude el día
Precio-lista de los dispositivos de hardware
Hola mi amigo
¡Hi!
Máquina de hilar
Jessica
Buscar el informe
María
Toronjil
Incomings mensuales sumarios
Nueva Precio-lista
Precio
Lista de precios
Pricelist
Precio-lista
Propensión a la servidumbre
Confirmación del registro
La cuenta
El empleado
El resumen
El gobierno de los E.E.U.U. suprime el castigo capital
Informe de actividad semanal
Pozo...
Le despiden
¿Usted realmente me ama? Él él
Cuerpo: (vacío)
Accesorio: < characters>.exe al azar dentro de un archivo del zip
El gusano no enviará ninguna mensajes del email a las direcciones que contienen cualesquiera de las secuencias siguientes:
Ch
@hotmail.com
@msn.com
@microsoft
@avp.
Noreply
Local
Raíz @
Postmaster @
El exe utilizará el icono siguiente en una tentativa de engañar a usuarios en la creencia de ella es un Microsoft sobresale la hoja de trabajo:
Si la pregunta esta respondida.
Si la pregunta esta contestada finalízala, en caso contrario vuelve a preguntarme.
