W32/Mydoom.AF. Se propaga por e-mail y P2PNombre: W32/Mydoom.AF
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.AF, I-Worm.Mydoom.ab, W32.Mydoom.AG@mm, W32/Mydoom.af@MM, W32/MyDoom-AG, W32/MyDoom-Gen, W32/Swash.A.worm, Win32.Mydoom.AE, Win32.Swash.A, Win32/Mydoom.Variant.Worm, WORM_SWASH.A, Win32/Mydoom.AE
Plataforma: Windows 32-bit
Tamaño: 31,864 bytes (ZIP), 31,744 bytes
Variante del Mydoom detectada el 26 de octubre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] es uno de los siguientes nombres:
angela
anthony
barbara
betty
cissi
cynthia
charles
christopher
daniel
david
donald
dorothy
edward
elizabeth
emily
ethan
george
hannah
hans
harris
helen
james
jennifer
john
josefine
joseph
karen
kevin
kimberly
lee
len
linda
maria
mark
martin
melissa
michael
nancy
nicholas
olivia
patricia
paul
richard
robert
ronald
sandra
susan
thomas
william
[Dominio] es el dominio del destinatario, o uno de los siguientes:
aol.com
compuserve.com
earthlink.net
hotmail.com
juno.com
msn.com
yahoo.co.uk
yahoo.com
El asunto del mensaje puede ser alguno de los siguientes:
- Attention!!!
- Do not reply to this email
- Error
- Good day
- hello
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
El texto del mensaje puede ser alguno de los siguientes:
The message contains Unicode characters and has
been sent as a binary attachment.
The message cannot be represented in 7-bit
ASCII encoding and has been sent as a binary
attachment.
Mail transaction failed. Partial message is
available.
Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you
can find in the attachment file.
It's a real good choise to go to
WORLDXXXPASS.COM
Attention! New self-spreading virus!
Be careful, a new self-spreading virus called
"RTSW.Smash" spreading very fast via e-mail and
P2P networks. It's about two million people
infected and it will be more.
To avoid your infection by this virus and to
stop it we provide you with full information
how to protect yourself against it and also
including free remover. Your can find it in the
attachment.
c 2004 Networks Associates Technology, Inc. All
Rights Reserved
New terms and conditions for credit card
holders
Here a new terms and conditions for credit card
holders using a credit cards for making
purchase in the Internet in the attachment.
Please, read it carefully. If you are not agree
with new terms and conditions do not use your
credit card in the World Wide Web.
Thank you,
The World Bank Group
c 2004 The World Bank Group, All Rights
Reserved
Attention! Your IP was logged by The Internet
Fraud Complaint Center
Your IP was logged by The Internet Fraud
Complaint Center. There was a fraud attempt
logged by The Internet Fraud Complaint Center
from your IP. This is a serious crime, so all
records was sent to the FBI. All information
you can find in the attachment. Your IP was
flagged and if there will be anover attemption
you will be busted.
This message is brought to you by the Federal
Bureau of Investigation and the National White
Collar Crime Center
El archivo adjunto, puede tener alguno de los siguientes nombres:
body
data
doc
docs
document
file
message
readme
rules
Seguido de alguna de estas extensiones:
.bat
.cmd
.exe
.pif
.scr
.zip
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
\hserv.sys
c:\windows\system32\lsasrv.exe
c:\windows\system32\version.ini
Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = "c:\windows\system32\lsasrv.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe c:\windows\system32\lsasrv.exe"
El gusano se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con los siguientes nombres y la extensión .BAT, .PIF, .SCR, o .EXE:
porno
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
activation_crack
icq2004-final
winamp5
K-LiteCodecPack2.34a
NeroBROM6.3.1.27
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
Intenta detener los siguientes procesos que pudieran estar en memoria:
bbeagle.exe
d3dupdate.exe
i11r54n4.exe
irun4.exe
MSBLAST.exe
msblast.exe
mscvb32.exe
navapw32.exe
navw32.exe
netstat.exe
outpost.exe
PandaAVEngine.exe
Penis32.exe
rate.exe
ssate.exe
sysinfo.exe
SysMonXP.exe
taskmon.exe
teekids.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zonealarm.exe
Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios de Internet, pertenecientes a conocidos antivirus:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 grisoft.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1
www.avp.com127.0.0.1
www.ca.com127.0.0.1
www.f-secure.com127.0.0.1
www.grisoft.com127.0.0.1
www.kaspersky.com127.0.0.1
www.mcafee.com127.0.0.1
www.my-etrust.com127.0.0.1
www.nai.com127.0.0.1
www.networkassociates.com127.0.0.1
www.sophos.com127.0.0.1
www.symantec.com127.0.0.1
www.trendmicro.com127.0.0.1
www.viruslist.comTambién intenta descargar un archivo de un sitio web (wmspb.net).
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
lsass
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
5. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y modifique la siguiente entrada para que quede solo lo siguiente:
Shell = "explorer.exe"
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble cli sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
Más información:
http://www.vsantivirus.com/mydoom-af.htmFamus.C Famus.C es un gusano que recoge datos privados del ordenador afectado como cuenta de correo, servidor, nombre de usuario, versión de Windows, etc., y se los envía a su autor.
Famus.C se propaga a través del correo electrónico, en un mensaje con el asunto "Més terrorismo este año \ More terrorism this year" y un archivo adjunto llamado VIDEO.SCR.
Nombre completo: Worm.W32/Famus.C@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 180222
Alias:W32/Famus.C.worm (Panda Software)
Recoge los siguientes datos privados del ordenador afectado y los envía a su autor:
Cuenta de correo.
Servidor.
Empresa.
Usuario.
Versión de Windows.
Identificador.
Nombre de usuario.
Nombre del ordenador.
Muestra el siguiente texto en pantalla entre los días 17 y 21 de cada mes:
Esta computadora ha sido infectada por el virus LIBERTAD.
Como protesta por la violación del derecho a la libertad de expresión en
Cuba.
En estos momentos toda la información de su disco duro esta siendo borrada
El Hobbit
Muestra en pantalla el siguiente mensaje cuando es ejecutado:
Famus.C crea los siguientes archivos:
VIDEO.SCR, en el directorio de sistema de Windows y la Papelera de Reciclaje. Este archivo es una copia del gusano.
NORTONRECYCLED.PIF en la Papelera de Reciclaje. Este archivo es una copia del gusano.
SMTP.OCX en el directorio de sistema de Windows. Este archivo es una librería legítima que contiene funciones SMTP que el gusano utiliza para enviarse automáticamente a otros ordenadores a través del correo electrónico.
ATTCK0234.PIF en el directorio DOCUMENTS AND SETTINGS\ \ CONFIGURACIÓN LOCAL\ TEMP.
SVHOST.PIF en el directorio DOCUMENTS AND SETTINGS\ \ CONFIGURACIÓN LOCAL\ TEMP.
MICROSOFT OFFICE.PIF en el directorio DOCUMENTS AND SETTINGS\ \ MENÚ INICIO\ PROGRAMAS\ INICIO. Este archivo será ejecutado automáticamente cada vez que Windows se inicie.
Crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Sav32 = C:\ recycled\ VIDEO.scr
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run NortonUtility = C:\ recycled\ NortonRecycled.pif
Mediante estas entradas, Famus.C consigue ejecutarse cada vez que Windows se inicia.
Nota: Sav32 es un programa antivirus de una compañía cubana.
Famus.C se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
Llega al ordenador en un mensaje con las siguientes características:
Remitente:
Famus.C no falsifica la dirección desde la que es enviado, sino que utiliza los datos de la cuenta de correo por defecto de Outlook Express.
Asunto:
Més terrorismo este año \ More terrorism this year
Contenido:
Password: "cnn"
Ultimas declaraciones de Bin Laden
Reenvme este video a todo el mundo.
===================================================
Password: "cnn"
Last speech from Bin Laden
Please forwards this video to everybody.
Archivo adjunto:
VIDEO.SCR
El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
Famus.C busca direcciones de correo electrónico en archivos con extensión DOC, EML, HTM y HTT.
Famus.C envía una copia de sí mismo a todas las direcciones que ha recogido, empleando una librería SMTP externa.
Famus.C está escrito en lenguaje de programación Visual Basic 6. Este gusano tiene un tamaño de 180222 Bytes.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4404Spydeleter Programa espía con capacidad para modificar la página inicial y las opciones de búsqueda del navegador Internet Explorer.
Puede descargar otros programas espías en el ordenador infectado.
Nombre completo: SpyWare.W32/Spydeleter
Tipo: [SpyWare] - Programa que se instala sin consentimiento del usuario para recoger información del usuario y del sistema.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 32768
Alias:Spyware/Spydeleter (Panda Software)
Spyware.W32/Spydeleter realiza las siguientes acciones:
Descarga e instala otros programas espía (spyware).
Cambia la página de inicio del navegador Internet Explorer por la siguiente:
Imagen de Panda Software La página de inicio modificada contiene un enlace que apunta a la página web
www.spydeleter.com, en la que supuestamente el usuario afectado puede adquirir por 29 dólares la solución para un spyware que presuntamente habría afectado el ordenador anteriormente.
Crea un botón contextual que, al ser pulsado, accede a dicha página web, para comprar la supuesta 'solución'.
Metodo de Infección Crea los siguientes archivos:
SD.ICO y SD2.ICO en el directorio de Windows. Son iconos que Spydeleter utiliza para añadir un botón contextual, que apunta a la página de un supuesto programa anti-spyware.
CLICK TO REMOVE SPYWARE.LNK y REMOVE SPYWARE NOW!.LNK en el Escritorio de Windows. Estos archivos son enlaces para comprar el supuesto programa anti-spyware.
SD.EXE, SD3.EXE y SDMSG.EXE.
Spyware.W32/Spydeleter modifica las siguientes entradas del Registro de Windows:
Clave:HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Valor: Search Bar = http:// server224.smartbotpro.net/ 7search/ ?new-hkcu
Clave: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Valor: Search Bar = http:// server224.smartbotpro.net/ 7search/ ?new-hklm
Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Valor: Start Page = http:// default-homepage-network.com/ start.cgi? new-hkcu
Clave: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Valor: Start Page = http:// default-homepage-network.com/ start.cgi? new-hklm
Modificando estas entradas, cambia la página de inicio de Internet Explorer y sus opciones de búsqueda por defecto.
Spyware.W32/Spydeleter es descargado automáticamente al ordenador cuando se visitan páginas web que contienen enlaces a scripts Java maliciosos, que intentan instalarlo.
Está escrito en el lenguaje de programación Visual C++ v6.0.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4403Swash Gusano cuya propagación se realiza a través del envío de correo electrónico a direcciones incluidas en la libreta de contactos de Windows o en ficheros del sistema con determinadas extensiones.
También se puede difundir mediante las redes de intercambio de ficheros de Kazaa, Morpheus, iMesh, eDonkey, o LimeWire.
Detiene la ejecución de varios procesos, algunos relativos a aplicaciones antivirus, lo que disminuye el nivel de protección del sistema infectado.
Así mismo, modifica el fichero HOSTS para impedir el acceso a varios sitios pertenecientes a compañías antivirus.
Nombre completo: Worm.W32/Swash@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Tamaño (bytes): 31744
Alias:W32/Swash.A.worm (Panda Software), W32.Mydoom.AG@mm (Symantec), Win32.Mydoom.AE (Computer Associates), WORM_SWASH.A (Trend Micro), I-Worm.Mydoom.ab (Kaspersky (viruslist.com)), W32/Mydoom.af@MM (McAfee)
Worm.W32/Swash@P2P+MM realiza las siguientes acciones:
Añade las siguientes lineas al fichero %System%\drivers\etc\hosts para impedir el acceso a los siguientes dominios relativos a compañías antivirus:
127.0.0.1
www.symantec.com 127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1
www.sophos.com 127.0.0.1 sophos.com
127.0.0.1
www.mcafee.com 127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1
www.viruslist.com 127.0.0.1 viruslist.com
127.0.0.1
www.f-secure.com 127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1
www.avp.com 127.0.0.1 avp.com
127.0.0.1
www.kaspersky.com 127.0.0.1
www.networkassociates.com 127.0.0.1 networkassociates.com
127.0.0.1
www.ca.com 127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1
www.my-etrust.com 127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1
www.nai.com 127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1
www.trendmicro.com 127.0.0.1 trendmicro.com
127.0.0.1
www.grisoft.com 127.0.0.1 grisoft.com
Intenta detener la ejecución de los siguientes procesos, algunos relativos a aplicaciones antivirus y otros pertenecientes a otros gusanos:
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
taskmon.exe
wincfg32.exe
outpost.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
Crea los siguentes archivos en el directorio de sistema de Windows:
LSASRV.EXE. Este archivo es una copia del gusano.
VERSION.INI.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: lsass = %sysdir%\ lsasrv exe
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: "Shell" = "explorer.exe %System%\lsasrv.exe"
Se propaga a través del correo electrónico y de los programas de intercambio de archivos (P2P).
Propagación a través de correo electrónico.
Recopila direcciones de correo electrónico de la libreta de contactos de Windows (WAB) y de ficheros ubicados en el sistema con alguna de las siguientes extensiones:
.wab
.pl
.adb
.tbb
.dbx
.asp
.php
.sht
.htm
.txt
Utiliza su propio motor SMTP para enviarse a sí mismo a las direcciones encontradas.
El mensaje enviado tiene las siguientes características:
Remitente: uno de los siguientes:
Joseph
Ronald
Hannah
Kimberly
Maria
George
Charles
Len
Cissi
Sandra
Jennifer
Hans
Richard
Lee
Emily
Helen
Elizabeth
Donald
David
Harris
Nicholas
Betty
Barbara
Mark
William
Martin
Ethan
Karen
Linda
Paul
Michael
Edward
Cynthia
Nancy
Patricia
Daniel
Robert
Olivia
Angela
Dorothy
Kevin
Christopher
John
Josefine
Melissa
Susan
Anthony
Thomas
James
seguido de alguno de los siguientes dominios:
compuserve.com
juno.com
earthlink.net
yahoo.co.uk
hotmail.com
yahoo.com
msn.com
aol.com
Asunto: uno de los siguientes:
Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Fichero Anexo: uno de los siguientes:
body
message
docs
data
file
rules
doc
readme
document
con alguna de las siguientes extensiones:
.bat
.cmd
.exe
.pif
.scr
.zip
Cuerpo del mensaje: uno de los siguientes:
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
Mail transaction failed. Partial message is available.
Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It's a real good choise to go to WORLDXXXPASS.COM
Attention! New self-spreading virus!
Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via
e-mail and P2P networks. It's about two million people infected and it will be more.
To avoid your infection by this virus and to stop it we provide you with full
information how to protect yourself against it and also including free remover.
Your can find it in the attachment.
c 2004 Networks Associates Technology, Inc. All Rights Reserved
New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders using a credit cards for making
purchase in the Internet in the attachment. Please, read it carefully.
If you are not agree with new terms and conditions do not use your credit card in the
World Wide Web.
Thank you,
The World Bank Group
c 2004 The World Bank Group, All Rights Reserved
Attention! Your IP was logged by The Internet Fraud Complaint Center
Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt
logged by The Internet Fraud Complaint Center from your IP. This is a serious crime,
so all records was sent to the FBI. All information you can find in the attachment.
Your IP was flagged and if there will be anover attemption you will be busted.
This message is brought to you by the Federal Bureau of Investigation and the
National White Collar Crime Center
Propagación a través de programas de intercambio de archivos.
Se copia a sí mismo en los directorios de intercambio de ficheros de las aplicaciones Kazaa, Morpheus, iMesh, eDonkey, o LimeWire con alguno de los siguientes nombres.
Los ficheros tienen extensiones bat, pif, scr, o exe:
porno
NeroBROM6.3.1.27
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
K-LiteCodecPack2.34a
activation_crack
icq2004-final
winamp5
Nombres de Ficheros Adjuntos (virus que llegan por correo)
document
readme
doc
rules
file
data
docs
message
body
Asunto del mensaje (virus que llegan por correo)
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
Good day
Error
Do not reply to this email
Attention!!!
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4402
