Autor Tema: W32/VB.NBN. Se propaga por MSN Messenger  (Leído 1662 veces)

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
W32/VB.NBN. Se propaga por MSN Messenger
« en: 13 de Marzo de 2005, 03:19:29 pm »
W32/VB.NBN. Se propaga por MSN Messenger
http://www.vsantivirus.com/vb-nbn.htm

Nombre: W32/VB.NBN
Nombre NOD32: Win32/VB.NBN
Tipo: Gusano de Internet
Alias: VB.NBN, Kelvir.E, Backdoor.Ircbot.BY, Backdoor.Win32.IRCBot.Y, Backdoor.Win32.IRCBot.y, Backdoor.Win32.Wootbot.bb, IM-Worm.Win32.Bropia.n, IRC/BackDoor.SdBot.152.M, MSNSmall.A, NewHeur_PE, Trojan.Wootbot-183, W32.Kelvir.D, W32.Kelvir.E, W32/Bropia.AA.worm, W32/Bropia.AD.worm, W32/Bropia.L, W32/Bropia.O, W32/Bropia.X.worm, W32/Kelvir.F-net, W32/Kelvir.worm.f, W32/Rbot-WX, W32/Sdbot.worm.gen.h, Win32.Bropia.T, Win32.HLLW.Kelvin, Win32.HLLW.MyBot, Win32.Worm.Bropia.N, Win32/Bropia.5738!Worm, Win32/VB.NBN, Worm.Bropia.N-2, Worm/Bropia.N, Worm/IRCBot.36254, Worm/VB.4.S, WORM_RBOT.ASL
Fecha: 10/mar/05
Plataforma: Windows 32-bit
Tamaño: 5,738 bytes (Upack)

Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra.

El gusano muestra un mensaje con el siguiente enlace para descargar un archivo:

    http: //[dirección]/hottt.pif

El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser HOTTT.PIF, y en realidad se trata de un RAR autoextraíble.

Cuando se ejecuta (doble clic), libera los siguientes archivos en la carpeta actual:

    Link.exe
    buddie.exe

BUDDIE.EXE es un troyano del tipo BOT y LINK.EXE es una copia del propio gusano.

Después ejecuta a LINK.EXE. Este componente intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea.

También copia a BUDDIE.EXE como LSASSX.EXE en la carpeta del sistema:

    c:\windows\system32\lsassx.exe

Este archivo tendrá los atributos de oculto (+H), solo lectura (+R) y del sistema (+S)...

Mas información..

http://www.vsantivirus.com/vb-nbn.htm

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License