NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Nuevo gusano de propagación masiva por e-mail y redes de intercambio tipo KaZaA

No tiene payload destructivo, sólo se propaga con remitente falso

 

Nombre de virus: W32/LANET@MM
Alias conocidos:
W32/Cult.B, W32/BlueECard
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero infectado anexado a un e-mail o recibido por redes tipo KaZaA
Propagación: Por envío de mails masivos anexando fichero infectado, y por redes tipo KaZaA

Detección: desde DATS 4255
Motor necesario: desde 4.1.60

Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un gusano de propagación masiva por e-mail, enviado a todas las direcciones de Windows Address Book, y otras capturadas de caché, temporales, etc.

Dispone de motor SMTP propio para el envío de los mails infectados, y además se propaga por redes compartidas tipo KaZaA

La presentación del mail es de las siguientes características: 

Asunto: Hi, I sent you an eCard from BlueMountain.com
Datos adjuntos: BlueMountaineCard.pif

Texto del mensaje:

To view your eCard, open the attachment

If you have any comments or questions, please visit
htto://www.bluemountain.com/customer/index.pd

Thanks for using BlueMountain.com
.

El fichero anexado al mail es el gusano, aparentando ser una salutación, el cual al ser ejecutado (al abrir dicha salutación), se copia en el directorio de sistema de Windows como WUAUQMR.EXE. y crea una carpeta en este directorio con el nombre jdfghtrg, en la que copia gran cantidad de ficheros con el gusano, con nombres de aparentes utilidades 

ACDSee 5.5.exe
Ad-aware 6.5.exe
Age of Empires 2 crack.exe
aim cracker.exe steal usernames.exe
aim password cracker aol cracker.exe
Animated Screen 7.0b.exe
Anno 1503_crack.exe
AOL Instant Messenger.exe
aol password cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
AVP_Crack.exe
BabeFest 2003 ScreenSaver 1.5.exe
Babylon 3.50b reg_crack.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
BitDefender.KeyGen.exe
Borland KeyGens.exe
Business Card Designer Plus 7.9.exe
C&C Generals_crack.exe
C&C Renegade_crack.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Coffee Cup Free HTML 7.0b.exe
Cool Edit Pro v2.55.exe
Crack McAfee 7.exe
Crack Norton 3000.exe
Diablo 2 Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DirectX InfoTool.exe
DivX 5.03 Codecs.exe
divx pro.exe
DivX Video Bundle 6.5.exe
Download accelarator.exe
Download Accelerator Plus 6.1.exe
driver.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
FIFA2003 crack.exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
GetRight 5.0a.exe
Global DiVX Player 3.0.exe
Gothic 2 licence.exe
GTA 3 Crack.exe
GTA 3 patch (no cd).exe
GTA 3 Serial.exe
gta3.exe
Guitar Chords Library 5.5.exe
HackNTTools.zip .exe
Hitman_2_no_cd_crack.exe
Hot Babes XXX Screen Saver.exe
hotgirls.exe
how to hack.exe
how to use a shell.pif
ICQ Lite (new).exe
ICQ Pro 2003a.exe
ICQ Pro 2003b (new beta).exe
iMesh 3.6.exe
iMesh 3.7b (beta).exe
IrfanView 4.5.exe
KaZaA Hack 2.5.0.exe
KaZaA Lite (New).exe
KaZaA Speedup 3.6.exe
Links 2003 Golf game (crack).exe
Living Waterfalls 1.3.exe
Mafia_crack.exe
Matrix Screensaver 1.5.src
MediaPlayer Update.exe
mIRC 6.40.exe
MP3 encoder_decoderV1.8.exe
mp3Trim PRO 2.5.exe
MSN Messenger 5.2.exe
NBA2003_crack.exe
Need 4 Speed crack.exe
Nero Burning ROM crack.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
Neverwinter_Nights_licence.exe
NHL 2003 crack.exe
Nimo CodecPack (new) 8.0.exe
Nod32Crack.exe
PaintShop Pro 7 Crack_By_Force.exe
PalTalk 5.01b.exe
PANDA.AVers.lusers.exe
PANDA.lusers.exe
play station emulator crack.exe
play station emulator.exe
Popup Defender 6.5.exe
Pop-Up Stopper 3.5.exe
porn.exe
QuickTime_Pro_Crack.exe
Serials 2003 v.8.0 Full.exe
SM.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
SMS_sender.exe
SophosCrackAllVersion.exe
Space Invaders 1978.exe
Splinter_Cell_Crack.exe
Steinberg_WaveLab_5_crack.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2003_bloodpatch.exe
UT2003_keygen.exe
UT2003_no cd (crack).exe
UT2003_patch.exe
virtua girl - adriana.pif virtua girl - bailey short skirt.pif
Virtua Girl (Full).exe
warcraft 3 crack.exe 100 free essays school.pif
warcraft 3 serials.pif
WarCraft_3_crack.exe
Winamp 3.8.exe
WindowBlinds 4.0.exe
WinOnCD 4 PE_crack.exe
WinZip 9.0b.exe
worldbook.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe
ZoneAlarm Pro KeyGen.exe
zoneallarm_pro_crack.exe

En los e-mails que envía cambia el remitente por otro de una lista interna que tiene programado, añadiendo como dominio uno de los siguientes, entre los que destaca HOTMAIL.COM: 

Earthlink.net
email.com
hotmail.com
msn.com
Roadrunner.com
yahoo.com

Algunos de los nombres de pila que utiliza son:

Gammons
Kaylee
Lighthall
McRaney
Peter
Raker
Sandra
Sandy Michel
Selnes
Vittorini
. . .

Por último crea claves de registro de sistema para cargarse en próximos reinicios:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NvCpTDaemon = wuauqmr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
NvCpTDaemon = wuauqmr.exe

HKEY_CURRENT_USER\Software\KAZAA\LocalContent
Dir0 = C:\Windows\System\jdfghtrg\
DisableSharing = 0

 

ELIMINACION:

Para la eliminación del virus, basta con ejecutar nuestra utilidad UNDO44.REG, con lo que se restaurarán las claves de registro, y a continuación ejecutar LIMPIA o LIMPIANT según que el Sistema Operativo sea Windows 95/98/Millennium o bien NT/2000/XP, respectivamente

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de tareas, e indicar SALIR.

 

Para descargar la utilidad correspondiente:

 

Pulsar aquí para bajar UNDO44.REG

Pulsar aquí para bajar LIMPIA.EXE (para sistemas Windows 95 / 98 / Me)

Pulsar aquí para bajar LIMPIANT.BAT (para sistemas Windows NT/2000/XP)

 

SATINFO, VIRUSCAN SPAIN SERVICE 3 de Abril 2003

Anterior