El virus Jerm simula ser una actualización de Windows XP


Jerm es la última amenaza que circula por Internet en forma de virus. Simula ser una actualización de Windows XP. Se propaga a través de correo electrónico y el chat de IRC y es bastante peligroso porque afecta al antivirus.





Jerm es un gusano modular con 3 componentes, de programación muy sofisticada, con una extensión de apenas 2 KB, y con una gran capacidad de propagación a través de mensajes de correo electrónico y el canal de Chat IRC.

Se difunde con el archivo anexado UpgradeToWindowsXP.bat, simulando ser una actualización al sistema operativo Windows XP.

Al ejecutarse el archivo el gusano se copia a la carpeta C:WindowsUpgradeToWindowsXP.bat y sobrescribe su código viral en el archivo .INI del software mIRC de Chat en la carpeta C:mircscript.ini. Luego crea una carpeta XP con los atributos de "solo lectura" y "oculto", en el directorio raíz de C: y se auto-copia a ese directorio recién creado, como XP.BAT, con atributo normal.

El gusano crea un archivo de registro en la carpeta C:XPUpdate.reg, con atributo normal y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave en el registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] PX = c:\xp\xp.bat

Jerm tiene los siguientes payloads:

a) Sobreescribe todos los archivos .DAT del antivirus ViruScan de McAfee ubicada en la carpeta C:progra~1mcafeemcafee~1*.dat y crea un código viral Visual Basic Script en el directorio raíz C:X.VBS con el atributo "oculto" del sistema.

b) Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, Jerm se auto-envía masivamente a todos los buzones de la libreta de direcciones de MS Outlook, con un efecto multiplicador.

c) El archivo .vbs agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] XXP = c:\xp\xp.bat

También a través de IRC
Todos los gusanos del Chat siguen el mismo principio de infección: Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI infectado a todas las personas conectadas a la misma sesión del canal de chat, además de otras instrucciones dentro de un Visual Basic Script.

d) El gusano abre el navegador Internet Explorer y se conecta a la dirección:

http://www.yahooka.com el portal de la "marihuana" en Internet.

e) Finalmente, ejecuta continuos comandos "ping" a http://www.hotmail.com intentado saturar el tráfico de Internet.

El gusano es un archivo de formato PE (Portable Ejecutable), por lo cual infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.


Otras noticias de interés:

Disponible eZine Cotejo N° 4
Esta disponible para su lectura/descarga el número 4 de la eZine Cotejo de Vaslibre, la revista digital referente al Software Libre (GNU/Linux). Revista digital bimensual. Disfrutenla!...
GuayanaLug: 1er Evento Regional Tecnológico Software Libre para Todos
Los amigos del Grupo GuayanaLug nos ha invitado a participar en el 1er Evento Regional Tecnológico Software Libre para Todos, que se realizará en la ciudad de Puerto Ordaz, Estado Bolívar....
VaSlibre tiene PLANETA!
Los amigos de VaSlibre colocaron online nuevamente al Planeta de noticias del Grupo, (http://planeta.vaslibre.org.ve/)...
Informe de Vulnerabilidades del 2do. Trimestre de 2010
INTECO-CERT publica el segundo informe trimestral de Vulnerabilidades con información resumida de los fallos de seguridad dados de alta en los últimos 3 meses....
Hackeado un sistema comercial de criptografía cuántica
Un grupo de físicos han logrado el primer ataque con éxito a este tipo de sistema comercial de criptografía cuántica....
Actualización de seguridad de Adobe Shockwave
Actualizar a la última versión del programa, para corregir los fallos. A través de la página oficial de instalación de Adobe Shockwave Player , se puede descargar la última versión del programa....
Ejecución de código a través del plugin gen_msn de Winamp
Se ha informado que existe una vulnerabilidad crítica en el plugin Now playing gen_msn para el reproductor Winamp, que podría permitir la ejecución remota de código....
IPv4 no aguantará más de 2-3 años
El paso a IPv6 es una necesidad que a cada día que pasa urge más. No sólo hablamos a nivel empresarial, sino a nivel de usuario de a pie. A día de hoy quedan libres 722 millones de direcciones IP, pero el ritmo al que son ocupadas es muy elevado,...
Por qué temer los sitios web de redes sociales?
Millones de personas hoy cuentan con un perfil personal on-line a través del cual comparten fotos, novedades y cotilleos con amigos, empleando horas en la actualización de sus detalles y añadiendo nuevos contactos. Bienvenido a las redes sociales ...
Derechos humanos versus derechos digitales
Paseando por la red encontré un curioso artículo escrito por por Joaquín Borrego Díaz, comparando los derechos humanos y los derechos digitales, ambos pueden cohexistir pero en la realidad es otra cuestión, los dos chocan debido a nuestra arcaic...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • jerm
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • simula
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra