.:: MoRal3j0 ::.

No mas C&P camuflado, todo C&P

NUEVO GUSANO DEL MSN

gusanoNormalmente no le daría mayor importancia, pero lo he visto con mucho futuro al gusanito este.

Estaba estudiando cuando alguien me escribió esto:
“oye voy a poner esa foto de nosotros en mi myspace :)”

Me sorprendió porque es alguien que no veo ni hablo con el desde hace 3 o 4 años. Seguidamente me manda un archivo comprimido IMG0024.zip
Al abrirlo es un archivo con este nombre – IMG0024.jpg-www.xxxxxxx.com

Me a sorprendido el gusano por lo siguiente:

  • Escribe en español (normalmente los gusanos mandan mensajes en ingles lo que no hace casi nadie de mis contactos)
  • Usa frases coloquiales y actualizadas para el mundillo de las fotos en internet. Algunos ejemplos:
    • oye voy a poner esa foto de nosotros en mi myspace :)
    • jaja recuerda cuando tuviste el pelo asi
    • esa foto de tu y yo la voy a poner en myspace

    ojo! El texto varia dependiendo del idioma en que este el windows.

  • Es muy típico el nombre de archivo IMG000xx.jpg para las fotos y la extensión .com la esconde poniendo una dirección de internet en el nombre de la foto. En realidad la extensión es .com lo que lo convierte en un ejecutable
  • Usa el MSN messenger y no es muy canso, cada 10, 20 minutos manda el texto a algún contacto conectado.
  • Son solo 33 KB

Cuando lo ejecutas se copia en la carpeta normalmente de windows dentro de system con el nombre de ehSched.exe y deja allí mismo una copia del IMG024.JPG.zip para mandarlo a otro contacto.

Crea en el registro múltiples entradas, entre otras para ejecutarse siempre que inicie windows. También intenta deshabilitar el antivirus, cortafuegos y las actualizaciones.

Abre puertos en tu ordenador para ser controlado desde el IRC, permitiendo ver los paquetes de tu propia red (claves y cosas confidenciales), buscar otros ordenadores a partir del tuyo ya infectado, preparar ataques DoS y otras cosas nada buenas.

Desde el punto de vista de programación es una maravilla de gusano, pero no me gustaría tenerlo en mi ordenador ;)

PD: Casi se me olvida, el Kaspersky ya lo detecta y seguramente los antivirus que no lo detecten poco les falte. Ha sido metido dentro de la familia Backdoor.Win32.Rbot

Anuncios

septiembre 10, 2007 Posted by | varios | 20 comentarios