Tema: Registro de Virus
Ver Mensaje Individual
  #2  
Antiguo 04-05-2006, 21:11:18
Avatar de VoDKa2
VoDKa2 VoDKa2 is offline
Colaborador
Fecha de Ingreso: Mar 2006
Predeterminado
<table width="99%" border="0">
<tbody>
<tr>
<td><font size="5" color="#000080"><strong>W32/Letum.A</strong></font></td>
<td>
<div align="right"><a href="http://www.hacksoft.com.pe/virus/w32_letum_a.htm#"> <img width="90" height="33" border="0" alt="Imprimir descripción de Virus" onmousedown="MM_callJS('imprimirPagina()')" src="http://www.hacksoft.com.pe/imgweb/imprimir_peq_5_col.gif" /></a></div>
</td>
</tr>
<tr>
<td colspan="2">*</td>
</tr>
</tbody>
</table>
<table width="100%" cellspacing="0" cellpadding="2" border="2">
<tbody>
<tr>
<td width="20%" valign="top" height="39"><font size="2" face="Arial, Helvetica, sans-serif" color="#000066">Nombre:</font></td>
<td width="80%" valign="top" height="39"><font face="Times New Roman"><strong> W32/Letum.A<br /> </strong></font><font size="2" face="Arial, Helvetica, sans-serif"><strong>Alias:</strong></font><font face="Times New Roman"> Email-Worm.Win32.Letum.a, MSIL.Letum.A@mm, MSIL/Letum.a@MM, W32/Letum.A-mm, Win32.HLLW.Letum, Win32/Letum.A, WORM_LETUM.A</font></td>
</tr>
<tr>
<td width="20%" valign="top" height="22"><font size="2" face="Arial, Helvetica, sans-serif" color="#000066">Tipo:</font></td>
<td width="80%" valign="top" height="22"> <font face="Times New Roman">Gusano de Email</font></td>
</tr>
<tr>
<td width="20%" valign="top" height="26"><font size="2" face="Arial, Helvetica, sans-serif" color="#000066">Tamaño:</font></td>
<td width="80%" valign="top" height="26"><font face="Times New Roman">32,768 bytes </font></td>
</tr>
<tr>
<td width="20%" valign="top" height="22"><font size="2" face="Arial, Helvetica, sans-serif" color="#000066">Origen:</font></td>
<td width="80%" valign="top" height="22"><font face="Times New Roman">Internet</font></td>
</tr>
<tr>
<td width="20%" valign="top" height="23"><font size="2" face="Arial, Helvetica, sans-serif" color="#000066">Destructivo:</font></td>
<td width="80%" valign="top" height="23"><font face="Times New Roman">SI</font></td>
</tr>
<tr>
<td width="20%" valign="top" height="23"><font size="2" face="Arial, Helvetica, sans-serif" color="#000066">En la calle *(in the wild):</font></td>
<td width="80%" valign="top" height="23"><font face="Times New Roman">SI</font></td>
</tr>
<tr>
<td width="20%" valign="top" height="22"><font color="#000066">Detección y eliminación:</font></td>
<td width="80%" valign="top" height="22"><font face="Times New Roman">The Hacker 5.9, con Registro de Virus al 08/04/2006.</font></td>
</tr>
</tbody>
</table>
<p><strong>Descripción</strong></p>
<p><strong>W32/Letum.A</strong>, es un gusano escrito en Microsoft Intermediate Language (MSIL), infecta equipos que tengan instalado el .NET Framework. El gusano llega* adjunto en un mensaje de e-mail que dice ser del Centro de alerta de Symantec o vía los grupos de noticias de USENET.</p>
<p><u><strong>Características del Mensaje de E-mail:</strong></u></p>
<p><strong>Asunto:</strong> <span lang="en-us">[</span>Variable, uno de los siguientes<span lang="en-us">]</span></p>
<ul>
<li>Warning!</li>
<li>Virus Alert </li>
<li><span lang="en-us">!</span>Customer Support </li>
<li>Re: Re:Warning</li>
<li>Virus Report</li>
</ul>
<p><strong>Cuerpo:</strong><span lang="en-us"> [</span>Variable, uno de los siguientes<span lang="en-us">]</span></p>
<blockquote>
<p style="margin-bottom: -16px;">Dear User, </p>
<p style="margin-bottom: -16px;">Due to the high increase of the Letum worm, we have upgraded it to Category B. </p>
<p style="margin-bottom: -16px;">Please use our attached removal tool to scan and disinfect your computer from the malware. </p>
<p style="margin-bottom: -16px;">If you have any comments or questions about this, then please contact us. </p>
<p style="margin-bottom: -16px;">Regards </p>
<p style="margin-bottom: -16px;"><span lang="en-us">[Removido]</span></p>
<p style="margin-bottom: -16px;">Senior Anti-Virus Researcher / Senior Principal Software Engineer </p>
<p style="margin-bottom: -16px;">1995 - 2006 Symantec Corporation All rights reserved. </p>
<p style="margin-bottom: -16px;">*</p>
<p style="margin-bottom: -16px;"><span lang="en-us"> ------------------------------</span></p>
<p style="margin-bottom: -16px;">*</p>
<p style="margin-bottom: -16px;">Hiya, </p>
<p style="margin-bottom: -16px;">I've found this tool a couple of weeks ago, and after using it i was surprised on</p>
<p style="margin-bottom: -16px;">how good it was on squashing viruses. I wonder if avers know about this? ;) </p>
<p style="margin-bottom: -16px;">Maybe not but try this, i'm sure it will help you in your fight against malware. </p>
<p style="margin-bottom: -16px;">The engine it uses isnt to bad, but the searching speed is very fast for such a small size </p>
</blockquote>
<p><strong><br /></strong></p>
<p><strong>************ Archivo Adjunto:</strong><span lang="en-us"> test.exe</span></p>
<p>---------------------------------</p>
<p>Cuando el gusano se ejecuta <span lang="en-us">queda residente en memoria y busca todas las carpetas y subcarpetas dentro de la unidad </span>"<span lang="en-us">C:</span>", seguidamente selecciona una carpeta aleatoriamente y pega un copia de si mismo con un nombre aleatorio.</p>
<p>Además modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:</p>
<p style="margin-bottom: -16px;" class="MsoNormal"><font color="#0000ff"> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun</font></p>
<p style="margin-bottom: -16px;" class="MsoNormal"><font color="#0000ff">"Letum"="C:<span lang="en-us">[</span>Ruta del archivo y Nombre aleatorio del gusano<span lang="en-us">]</span>"</font></p>
<p style="margin-bottom: -16px;" class="MsoNormal">*</p>
<p style="margin-bottom: -16px;" class="MsoNormal">También crea la siguiente entrada:</p>
<p style="margin-bottom: -16px;" class="MsoNormal">*</p>
<p style="margin-bottom: -16px;" class="MsoNormal"><font color="#0000ff"> HKEY_LOCAL_MACHINESOFTWARERetro<br /> "Letum"="C:<span lang="en-us">[</span>Ruta del archivo y Nombre aleatorio del gusano<span lang="en-us">]</span>"</font></p>
<p style="margin-bottom: -16px;" class="MsoNormal">*</p>
<p style="margin-bottom: -16px;" class="MsoNormal"><span lang="en-us">Seguidamente el gusano busca un servidor SMTP disponible o un Servidor Usenet a través de</span> <span lang="en-us">l</span>a siguiente llave de registro "<span lang="en-us">Internet Account Manager</span>", si no encuentra un servidor SMTP, este utiliza el servidor predeterminado "mail.primaryhost.org.uk" y si no encuentra un servidor USENET, este utilizara el servidor por defecto "news.microsoft.com", luego enviara una copia de si mismo a todas las direcciones de email que encuentre dentro de archivos .html en el sistema atacado.</p>
<p style="margin-bottom: -16px;" class="MsoNormal">*</p>
<p style="margin-bottom: -16px;" class="MsoNormal">Finalmente el gusano visualiza un mensaje que contiene el siguiente texto:</p>
<p style="margin-bottom: -16px;" class="MsoNormal">*</p>
<p style="margin-bottom: -16px;" class="MsoNormal">Name Entry Error</p>
<p style="margin-bottom: -16px;" class="MsoNormal">Dear <span lang="en-us">[</span>Removido<span lang="en-us">]</span></p>
<p style="margin-bottom: -16px;" class="MsoNormal"><span lang="en-us">[</span>Removido<span lang="en-us">]</span> is a person not a <span lang="en-us">[</span>Removido<span lang="en-us">]</span> genetically modified food product. She´s not happy you called her that!</p>
<p style="margin-bottom: -16px;" class="MsoNormal">Regards</p>
Responder Con Cita