Autor Tema: W32/Kelvir.F. Se propaga por MSN Messenger  (Leído 1769 veces)

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
W32/Kelvir.F. Se propaga por MSN Messenger
« en: 13 de Marzo de 2005, 03:20:29 pm »
W32/Kelvir.F. Se propaga por MSN Messenger
http://www.vsantivirus.com/kelvir-f.htm

Nombre: W32/Kelvir.F
Nombre NOD32: NewHeur_PE (detectado con heurística)
Tipo: Gusano de Internet
Alias: Kelvir.F, W32.Kelvir.F
Fecha: 11/mar/05
Plataforma: Windows 32-bit

Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra.

El gusano muestra un mensaje con el siguiente enlace para descargar un archivo:

    http: / /[dirección]/girls.com

El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser GIRLS.COM, y en realidad se trata de un RAR autoextraíble.

Cuando se ejecuta (doble clic), libera los siguientes archivos en la carpeta "Archivos de programa":

    [Archivos de programa]\MSS\link.exe
    [Archivos de programa]\MSS\pwn.exe

[Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files"

PWN.EXE es un gusano del tipo BOT y LINK.EXE es una copia del propio gusano.

Después ejecuta a LINK.EXE. Este componente intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea.

También copia a PWN.EXE como DOS.EXE en la carpeta del sistema:

    c:\windows\system32\dos.exe

Este archivo tendrá los atributos de oculto (+H), solo lectura (+R) y del sistema (+S).

Mas informacion...
http://www.vsantivirus.com/kelvir-f.htm

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License