NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Gusano w32/Blinkom que se propaga vía ICQ, KaZaA, disquete, email, mIRC y recursos compartidos de red

Nombre de virus: W32/Blinkom
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)

Activación: Por ejecución de fichero con extensión .PIF
Propagación: A través de ICQ, KaZaA, disquete, email, mIRC y recursos compartidos de red

Detección: desde DATS 4218
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

 

W32/Blinkom es un gusano que pretende propagar utilizando diferentes métodos: ICQ, KaZaA, disquete, correo electrónico, mIRC y recursos compartidos de red. Asimismo, intenta borrar aplicaciones cortafuegos (ZoneAlarm, BlackIce, Tiny, Sygate) y antivirus, hacer llamadas a Columbia, Barcelona, Puerto Rico, México, y a un número 1-900 en USA, así como realizar otros cambios en el sistema.

Para enviarse a través de correo electrónico reúne direcciones de email de la lista en caché de MSN Messenger. Los diferentes asuntos, cuerpos de mensaje y ficheros adjuntos que utilizan son:

 

Asunto: Los mejores chistes de Bin Laden
Mensaje: A todos mis amigos. Los mejores chistes que me
enviaron, éstos son los mejores.
Adjunto: BinLadilla.pif

Asunto: HISPASEC
Mensaje: Esta es la prueba de que HISPASEC roba importantes
bases de datos de muchas compañías, incluso hotmail. (los campos
en blanco son algunos datos omitidos por razones de a nonimato y
seguridad).
Adjunto: Noticia45.Txt.pif

Asunto: HISPASEC
Mensaje: This is the probe that HISPASEC steals important
databases of many companies (the fields in blank_target are some
data omitted by security and anonimity reasons)
Adjunto: NewsHS.Txt.pif

Asunto: Carnivore databases
Mensaje: BO2K publish pieces of database gathered by Carnivore.
Adjunto: CarnivoreStory.Pif


Asunto
: Base de datos. Carnivore.
Mensaje: BO2K publica parte de la base de datos recopilada por
Carnivore
Adjunto: CarnivoreStory.pif


Asunto
: VAN A VENDER HOTMAIL
Mensaje: parece que los de microsoft no se la pudieron,
prefirieron dedicarle tiempo al windows, amenazan con borrar las
cuentas, pero se puede evitar siguiendo unos estatuts que ellos
ponen a disposición. leelos o no tendras mas cuenta. chao.
Adjunto: Estatutos.Pif

Al ejecutar W32/Blinkom, este intenta copiarse en diferentes ubicaciones, entre las que se encuentran:

 

C:\

C:\Windows

C:\Program Files\KaZaA\My Shared Folder

C:\Program Files\ICQ\

A:\

y bajo diferentes nombres de fichero, con extensión .EXE, .SCR, .PIF, .TXT.PIF, etc.

Genera un fichero con extensión .HTML en C:\, el cual lo convierte en fondo de escritorio, y que muestra el siguiente mensaje:

"LO SIENTO ESTAS INFECTADO POR BLINK BY: RAZOR/GEDZAC".

Igualmente, modifica o sobreescribe los ficheros WIN.INI, SYSTEM.INI y SCRIPT.INI, y tras reiniciar el equipo infectado borra ficheros PWL y desactiva el mouse.

 

SATINFO, VIRUSCAN SPAIN SERVICE 10 de Septiembre de 2002

Anterior