.:: MoRal3j0 ::.

No mas C&P camuflado, todo C&P

NUEVO GUSANO DEL MSN

gusanoNormalmente no le daría mayor importancia, pero lo he visto con mucho futuro al gusanito este.

Estaba estudiando cuando alguien me escribió esto:
“oye voy a poner esa foto de nosotros en mi myspace :)”

Me sorprendió porque es alguien que no veo ni hablo con el desde hace 3 o 4 años. Seguidamente me manda un archivo comprimido IMG0024.zip
Al abrirlo es un archivo con este nombre – IMG0024.jpg-www.xxxxxxx.com

Me a sorprendido el gusano por lo siguiente:

  • Escribe en español (normalmente los gusanos mandan mensajes en ingles lo que no hace casi nadie de mis contactos)
  • Usa frases coloquiales y actualizadas para el mundillo de las fotos en internet. Algunos ejemplos:
    • oye voy a poner esa foto de nosotros en mi myspace :)
    • jaja recuerda cuando tuviste el pelo asi
    • esa foto de tu y yo la voy a poner en myspace

    ojo! El texto varia dependiendo del idioma en que este el windows.

  • Es muy típico el nombre de archivo IMG000xx.jpg para las fotos y la extensión .com la esconde poniendo una dirección de internet en el nombre de la foto. En realidad la extensión es .com lo que lo convierte en un ejecutable
  • Usa el MSN messenger y no es muy canso, cada 10, 20 minutos manda el texto a algún contacto conectado.
  • Son solo 33 KB

Cuando lo ejecutas se copia en la carpeta normalmente de windows dentro de system con el nombre de ehSched.exe y deja allí mismo una copia del IMG024.JPG.zip para mandarlo a otro contacto.

Crea en el registro múltiples entradas, entre otras para ejecutarse siempre que inicie windows. También intenta deshabilitar el antivirus, cortafuegos y las actualizaciones.

Abre puertos en tu ordenador para ser controlado desde el IRC, permitiendo ver los paquetes de tu propia red (claves y cosas confidenciales), buscar otros ordenadores a partir del tuyo ya infectado, preparar ataques DoS y otras cosas nada buenas.

Desde el punto de vista de programación es una maravilla de gusano, pero no me gustaría tenerlo en mi ordenador ;)

PD: Casi se me olvida, el Kaspersky ya lo detecta y seguramente los antivirus que no lo detecten poco les falte. Ha sido metido dentro de la familia Backdoor.Win32.Rbot

Anuncios

septiembre 10, 2007 - Posted by | varios

20 comentarios »

  1. como hago para eliminarlo… yo lo recibi y lamentablemente lo abri… y si es muy molesto..
    me ayudass???

    Comentario por lilian | septiembre 10, 2007 | Responder

  2. Sin querer descargue el .zip, (le pasé el NOD32, que no lo reconocio) y pensando que era un archivo seguro lo descomprimi usando click derecho, pero no ejecute el IMG0024.jpg-www.xxxxxxx.com

    Inmediatamente borre el archivo y el .zip

    Hay alguna posibilida de que me hubiera infectado el virus?

    Comentario por Wirwing | septiembre 10, 2007 | Responder

  3. Se agradece moral3j0 por el aviso.

    Comentario por Zealot | septiembre 10, 2007 | Responder

  4. […]  Más información de lo que hace el vil gusano en MoRal3j0. […]

    Pingback por   Nuevo virus de Msn… ¡no reciban fotos! — Rodolfo Palominos | septiembre 10, 2007 | Responder

  5. gracias por el aporte! :D

    me llegó el archivo… lo tengo ahí para ver qué es!

    dejé un link a tu blog en el mío
    http://www.rodolfopalominos.com

    saludos!

    Comentario por RP | septiembre 10, 2007 | Responder

  6. Ola! oye muxas gracias por la info, sabes yo conosco a alguien q tiene este gusanillo espero poder ayudarlo, en tonces hay q eliminar el archivo C:\WINDOWS\IMG0024.jpg-www.xxxxxxx.com
    el cual lo encontre, entonces quere decir q me falta eliminar el archivo ehSched.exe el cual debe de abrir algun proceso malicioso al iniciar windows verdad! y luego de eso limpiar el registro o llaves de registro kn el regcleanner. Bueno muxas gracias colega…

    Jaime studiante ing. iformatica..

    Comentario por hammer123 | septiembre 10, 2007 | Responder

  7. Bastante interesante la informacion

    Comentario por Zealot | septiembre 10, 2007 | Responder

  8. Hola! Gracias por la info sobre el virus. Un amigo se lo mandó a mi marido que justo se habia cortado el pelo… estamos tratando de desinfectar la máquina.

    Vero.-

    Comentario por Verónica | septiembre 10, 2007 | Responder

  9. Seria bueno que publicaran como se elimina tambien.

    Saludos

    Comentario por Nelson | septiembre 10, 2007 | Responder

  10. en realidad a mi igual me sorprende kreo ke varios kaeran por el sendero de este gusano xD por lo meno yo me di kuenta ya que me paso lo mismo de ke el kontakto no lo konozko muxho y me kede pensando ke foto puede tener mia y de ella xD algo estupido asi ke aka por lo menos me informe ams del asunto hasta el momento no hay muchas soluciones y se sigue expandiendo
    interesante gusano coloquial =)
    hay ke puro matarlo xD

    Comentario por vikingo | septiembre 11, 2007 | Responder

  11. Tendré cuidado contigo a partir de ahora en el msn, a ver si vas a ser contagioso ;-)

    Comentario por Raiden | septiembre 11, 2007 | Responder

  12. para quienes preguntar por una solución para el problema:
    http://www.rodolfopalominos.com/2007/09/12/solucion-a-img0024zip/

    saludos!

    Comentario por rpupload | septiembre 16, 2007 | Responder

  13. Moraooooooooooo!así me gusta, que avises al personal que luego no dejan de darme el coñazo con esas cosas xD

    Comentario por Among The Living | septiembre 17, 2007 | Responder

  14. por favor tengo ese gusano dichoso y no se como eliminarlo, me podriais decir como lo tengo q eliminar??

    Comentario por maria | septiembre 17, 2007 | Responder

  15. por desgracia la muy pendeja de mi madre acepto
    el virus aff y no se q acer alguien me peude ayudar? :(

    Comentario por iego | octubre 10, 2007 | Responder

  16. Si yo tambien estoy deacuerdo en que es bueno que nos hayas avisado,.,,, animo!

    Comentario por aa | octubre 10, 2007 | Responder

  17. me aparecio un mensaje en pantalla por no desactivar correctamente mi usb y no se como poder hacer desaparecer este asunto me gustarias que me ayudaras.
    windows – no disck
    o algo asi y aparte de eso mi sistema operativo esta en ingles y eso solo lo leo pero no lo entiendo. je je je
    saludos bay
    espero tu ayuda.

    Comentario por juan ramon escobedo carmona | octubre 19, 2007 | Responder

  18. juan ramon escobedo carmona:
    eso va a ser de que sacaste el usb o algo asi.
    mi sistema operativo esta en español y aveces miro por la ventana para ver si llueve

    saludos hoygan

    Comentario por moral3jo | octubre 20, 2007 | Responder

  19. no puedo borrar el archivo lsass.exe

    Comentario por oct | noviembre 21, 2007 | Responder

  20. donde esta el registro de la pc?

    Comentario por octavio | noviembre 21, 2007 | Responder


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: