Hardoc
Es un gusano que se propaga por correo electrónico. Aprovecha la vulnerabilidad de encabezado MIME incorrecto (Boletín de seguridad de Microsoft MS01-020) que permite la ejecución automática del adjunto en un ordenador no parcheado.
Este gusano se envía a todas las direcciones de correo encontrada en la libreta de direcciones de Windows y en ficcheros .html.
Nombre completo: Worm.W32/Hardoc@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño comprimido (bytes): 5120
Alias:W32.Hardoc@mm (Symantec), WIN32/HARDOC.A (Enciclopedia Virus (Ontinent))
Cuando se ejecuta el gusano realiza las siguientes acciones:
Muestra un falso mensaje de error con el siguiente texto:
Error
Not Enought Memory
Se copia a sí mismo como %System%\WINRE16.EXE.
Nota: %System% vale, por defecto, C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Añade el valor:
"Windows Explorer-3212"="%System%\WINRE16.EXE"
a la clave del registro:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
de tal forma que el gusano se ejecuta cada vez que se arranca Windows.
Recoge direcciones de email de ficheros .html y del libro de direcciones de Windows.
Intenta enviarse por email usando su propio motor SMTP. El correo tiene las siguientes características:
De: (falsificado)
Asunto.Uno de los siguientes:
Re:
Fw:
Power Point
Cuerpo del mensaje:
!!! Power Point !!!
Adjunto:
PowerPoint.scr
Lemoor.A
Es un gusano sin efectos destructivos que se propaga aprovochando una vulnerabilidad en el componente FTP de la familia de gusanos Sasser.
Nombre completo: Worm.W32/Lemoor.A
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows XP
Tamaño comprimido (bytes): 1900
Alias:W32.Lemoor.A (Symantec)
Cuando se ejecuta el gusano realiza las siguientes acciones:
Añade uno de los siguientes valores:
"[Ephemeral 2.3] by TreeHugger, " =
"[Ephemeral 2.4] by TreeHugger, " =
a la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de tal forma que el gusano se ejecuta cuando se arranca Windows.
Intercepta paquetes SMB de gusanos Sasser para atacar otros ordenadores.
Extrae la dirección IP de ordenadores infectados de los datos que intercepta de los gusanos Sasser.
Se conecta a las direcciones IP y envía peticiones especiales que aprovechan la vulnerabilidad en el componente de servidor FTP de los gusanos Sasser.
Si el gusano tiene éxito en el ataque, lanza una shell de comando sobre el ordenador remoto usando un número de puerto aleatorio.
Usando la shell de comandos, el gusano se carga a sí mismo en el ordenador remoto
