El virus Jerm simula ser una actualización de Windows XP


Jerm es la última amenaza que circula por Internet en forma de virus. Simula ser una actualización de Windows XP. Se propaga a través de correo electrónico y el chat de IRC y es bastante peligroso porque afecta al antivirus.





Jerm es un gusano modular con 3 componentes, de programación muy sofisticada, con una extensión de apenas 2 KB, y con una gran capacidad de propagación a través de mensajes de correo electrónico y el canal de Chat IRC.

Se difunde con el archivo anexado UpgradeToWindowsXP.bat, simulando ser una actualización al sistema operativo Windows XP.

Al ejecutarse el archivo el gusano se copia a la carpeta C:WindowsUpgradeToWindowsXP.bat y sobrescribe su código viral en el archivo .INI del software mIRC de Chat en la carpeta C:mircscript.ini. Luego crea una carpeta XP con los atributos de "solo lectura" y "oculto", en el directorio raíz de C: y se auto-copia a ese directorio recién creado, como XP.BAT, con atributo normal.

El gusano crea un archivo de registro en la carpeta C:XPUpdate.reg, con atributo normal y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave en el registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] PX = c:\xp\xp.bat

Jerm tiene los siguientes payloads:

a) Sobreescribe todos los archivos .DAT del antivirus ViruScan de McAfee ubicada en la carpeta C:progra~1mcafeemcafee~1*.dat y crea un código viral Visual Basic Script en el directorio raíz C:X.VBS con el atributo "oculto" del sistema.

b) Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, Jerm se auto-envía masivamente a todos los buzones de la libreta de direcciones de MS Outlook, con un efecto multiplicador.

c) El archivo .vbs agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] XXP = c:\xp\xp.bat

También a través de IRC
Todos los gusanos del Chat siguen el mismo principio de infección: Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI infectado a todas las personas conectadas a la misma sesión del canal de chat, además de otras instrucciones dentro de un Visual Basic Script.

d) El gusano abre el navegador Internet Explorer y se conecta a la dirección:

http://www.yahooka.com el portal de la "marihuana" en Internet.

e) Finalmente, ejecuta continuos comandos "ping" a http://www.hotmail.com intentado saturar el tráfico de Internet.

El gusano es un archivo de formato PE (Portable Ejecutable), por lo cual infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.


Otras noticias de interés:

Desbordamiento entero en rutinas Sun RPC XDR
Gran parte de los sistemas que utilizan el sistema XDR definido por SUN son susceptibles de un ataque de desbordamiento entero que permite, bajo circunstancias propicias, que un atacante remoto mate servicios e incluso llegue a ejecutar código arbit...
+ del 70% de los dispositivos de red son vulnerables
Las organizaciones de todo el mundo son vulnerables a las nuevas amenazas para su seguridad, según un nuevo estudio de la firma Dimension Data. ...
Cayapa Canaima GNU/Linux del 14 al 18
En este encuentro se lanzará la propuesta de licencia venezolana de Software Libre para tutelar el conocimiento asociado con la producción de sistemas informáticos libres....
El cibercrimen cuesta 338.000$ al año
Cada segundo hay 14 usuarios de Internet víctimas de un ataque, lo que supone un millón de incidentes de seguridad cada día....
Fallos de seguridad en Opera Unite
El escenario es siempre parecido, la cuestión es sacar un servicio revolucionario, que se hable de ello, que todo el mundo se registre en él y entrar dos veces contadas, se twittee, se tumblree, se flickree, se facebookee, salga incluso en periódi...
Nuevo ataque de phishing a Facebook
G Data SecurityLabs nos advierte de un nuevo ataque de phishing a través de Facebook en el que los usuarios de la red social reciben un mensaje procedente del servicio oficial de la red social Facebook Security....
Asegure sus datos contra pérdidas accidentales
Los datos almacenados en su computadora pueden hacer de su vida un Edén o un infierno. Allí puede haber almacenados archivos financieros, valiosos documentos o preciosas fotografías. ¿Se arriesgaría usted a perderlos? Seguramente no....
Revelación de información en Mozilla Firefox
Se ha encontrado una vulnerabilidad en Firefox que puede ser aprovechada por atacantes para revelar información del sistema. ...
Datos privados subidos a Megaupload están en peligro!
Han pasado diez días desde el cierre de Megaupload. Hoy se conoce que los ficheros subidos al cyberlocker van a empezar a desaparecer a partir de este jueves día 2 de febrero, incluyendo los personales y legales. Y es que la capacidad de almacenami...
OpenOffice 3.1.1 disponible
La suite de ofimática abierta acaba de llegar a su versión final 3.1.1, con numerosos problemas solucionados y con más fuerza que nunca para conseguir hacerse un hueco en este mundo dominado, queramos o no, por Microsoft Office....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • jerm
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • simula
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra