Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Sexer.B@MM

Alias:
WORM_SEXER.B (Trend Micro), I-Worm.Sexer.c (Kaspersky (viruslist.com)), Win32.HLLM.Nicky.3 (Trend Micro), W32/Sexer.worm (Trend Micro), W32/Sexer.B.worm (Panda Software)

Descripción:
Gusano emisor masivo que se reenvía a todas las entradas de la libreta de direcciones de Windows en un mensaje con un texto en idioma ruso.

Simula provenir desde una dirección de una reconocida firma de productos antivirus (Kaspersky) utilizando técnicas de suplantación de la dirección del remitente (Spoofing).

El fichero adjunto al mensaje tiene por nombre: "KAVUtil.exe"

El código del gusano está comprimido con la utilidad PKLite y ha sido desarrollado en lenguaje de alto nivel Delphi.

Detalles:
Tras su ejecución realiza las siguientes tareas:

Instalación

  • Copia dos ficheros en la carpeta C:\Program Files\Common Files\System con los siguientes nombres:
    • KAV.bmp (imágen de fondo de escritorio en formato bitmap)
    • KAVutil.exe (Copia de si mismo)

  • Crea la siguiente entrada en el registro indicado para iniciarse junto al arranque de Windows:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run
    KAVutil = 

Propagación

     

  • Para propagarse, enviará copias de sí mismo a todas las direcciones contenidas en la libreta de Windows (WAB). Para el acceso al fichero que las continene accederá al siguiente registro:

    HKEY_CURRENT_USER\Software\Microsoft\WAB\ 
    WAB4\Wab File Name 

  • Seguidamente generará y enviará un mensaje utilizando funciones del interfaz MAPI (Messaging Application Programming Interface), con las siguientes características:

    De: Kaspersky Lab 
    Asunto: Утилита для выявления и удаления почтовых червей
     Adjunto: KAVUtil.exe

Carga útil

  • El gusano consigue cambiar la imagen establecida como fondo de escritorio por la copiada en la carpeta C:\Program Files\Common Files\System, realizando el siguiente cambio en el registro indicado:

    HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper = 
    C:\Program Files\Common Files\System\KAV.bmp

  • Con el mismo propósitio realizará cambios en el fichero WIN.INI cuando el sistema operativo infectado sea Windows 95, 98 o ME:

    [Desktop] 
    Wallpaper=C:\Program Files\Common Files\System\KAV.bmp 

  • Una muestra de esta imagen, es la siguiente:

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados