DADUNI, sofisticado gusano. Intenta deshabilitar McAfee, AVP y PER Antivirus.


I-Worm.Daduni, Win32/Daduni, W32/Duni

Daduni es un gusano reportado el 03 de Junio del 2002, que se propaga masivamente en mensajes de correo con un archivo anexado de nombres leatorios, con la extensión .cpl (Control Panel Applet) y se auto-envía a todos los contactos del MSN Messenger, haciendo uso de las las funciones de las librerías que provee el propio Microsoft Messenger.






http://messenger.msn.com

Después de infectar un sistema, intenta deshabilitar 3 antivirus: VirusScan de McAfee, AVP y PER Antivirus, en cuyo último caso en particular, no ha logrado su objetivo.

Este gusano PE (Portable Ejecutable) infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Está desarrollado sofisticadamente en Borland Delphi y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de varios Antivirus:

http://upx.sourceforge.net

Tanto los asuntos como los archivos anexados son elegidos en forma aleatoria de nombres o frases contenidas dentro del código del gusano.

Remitente, cualquier dirección de correo capturado del sistema infectado.

Asunto, elegido aleatoriamente de estas frases:

Esta si que es zorra!!!
Fotos de asesinatos, Jack el Destripador, Charles Manson, y muchos mas para decorar tu escritorio.
Yeahhh Mutha Facka... NY Brookling in your NET.
Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos...
Test de amor.
30 pregutas para saber si tu pareja te enga
!La imagen de cristo en un bosque.
mira como seria un mundial en la antigua mesopotamia.
Fotos de Cristo para decorar tu escritorio.
Te han enviado una postal.
Te acuerdas de mi?
Asi se hace el amor...
Asi me gusta a mi...
Esto doleria mucho, mucho :-).
Si esto no me lo regresas me sentire mal.
La vida despues de la muerte.
Me cambie de correo, aver si ahora me escribes...
Leelo y reenvialo a quienes mas amas.
Cancion de amor, para ti.
Paulina Rubio y su zorrita cosmica...
No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.
!Ver el listado de falsas alarmas.
!ja, la han cagado con este video.
Bin Laden DT de la seleccion de arabia...
Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.
Bin Laden presidente de la FIFA.
Dime que te parece esta animacion.
Una broma para las secretarias, ja ja.
Test para secretarias, para saber que tan tontas son.
41 preguntas para saber si alguien es sicopata.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Last hoaxes list.
Hola
como te gustarian este par de tetitas.
Leelo y reenvialo a quienes mas amas.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Bin Laden killing muthaFaka bill gates.
Archivos anexados, elegidos aleatoriamente de cualquiera de los siguientes:

zorrita.cpl
jack.cpl
sickofitall.cpl
analpasswords.cpl
poema_angelical.cpl
testdeamor.cpl
Adulterio_en_tus_narices.cpl
Cristo.cpl
mundial.cpl
cristo2002.cpl
postal_de_mi_alma.cpl
estesoyyo.cpl
milposiciones.cpl
como_como.cpl
por_ahi_noooooo.cpl
lomasimportante.cpl
vidaymuerte.cpl
siemprevivir@setnet.cpl
milvidas.cpl
comoolvidarte.cpl
paulinasex.cpl
mentiras_en_hotmail.cpl
listado_de_hoaxes.cpl
zapato_en_el_culo.cpl
binladenDT.cpl
gooooooool.cpl
Fifaladen.cpl
788782.cpl
secretarias.cpl
test_secretontas.cpl
sere_yo_uno_de_esos.cpl
scarycrai.cpl
mentiras_mails.cpl
mcaffehoaxlist.cpl
tetris2002.cpl
zandias_meloones.cpl
quien_como_tu.cpl
portymore.cpl
listado_de_porquerias.cpl
billgatesscream.cpl
Ejemplo de mensaje:



Al ejecutar el archivo infectado éste se copia al directorio raíz C: y al subdirectorio C:windows o C:winnt. El archivo usa un número aleatorio del 1 al 9, con la extensión .cpl.

Para ser ejecutado la próxima vez que se inicie el sistema agrega un valor a la llave del registro:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

este valor es referido al archivo que fue copiado previamente. Ejemplos:

1821 rundll32.exe, shell32.dll, Control_RunDLL, C:WINDOWS1821.cpl

El gusano captura las direcciones de correo de la Libreta de Contactos de MSN Messenger de la siguiente llave de registro:

[HKEY_CURRENT_USERSoftwareMicrosoftMessengerServiceListCache.NET Messenger Service]

y se auto-envía a través del servidor SMTP (Simple Mail Transfer Protocol) mail.hotmail.com.

Daduni usa archivos temporales llamados commfig.sys y k32.vxd ubicados en el directorio de Windows durante la captura de la lista de direcciones de correo.

También se propaga a través de la popular red compartida Kazza mediante la cual se descargan videos, archivos MP3, fotografías, etc., intentando leer el siguiente valor de registro:

[HKEY_CURRENT_USERSoftwareKazaaTransferDlDir0]

y de lograrlo, el gusano se auto-copia a la la red compartida Kazaa con alguno de los siguientes nombres de archivos que estarán disponibles para ser descargados por otros usuarios de esta red:

DivResidentEvil.ZIP.cpl
SpidermanDesktop.cpl
AVP_KeyActualization2002.ZIP .cpl
Messenger_skins.ZIP .cpl
Porno_sTar.cpl
CannibalCorpse.MP3 .cpl
ASickofitall.Zip .cpl
AXEbahia.cpl
NuevosVideosProfesorRossa.cpl
NewVideo_Blink182.cpl
LagWagon&Blink182.cpl
Hacking.cpl
AllMcAfeeCrack.Cpl
Britney_spearsVSDavidBeckham_AnalPasions.cpl
Crack.PerAntivirus.Zip .cpl
JamieThomasVSrodneyMullen.cpl
MariguanaDesktop.cpl
AgeOfEmpires2_Crack.cpl
PSX2_Emulation.Zip .cpl
GameCube.Zip .cpl
Mames.Zip.cpl
Crack_Delphi5and6.Zip .cpl
terminator2.cpl
BinladenF*ckinBillGates.cpl
AnalPasswords.cpl
ElvisDesktop.cpl
B.cpl
Z.cpl
AVP_Spanish.cpl
ZoneAlarmCrack.cpl
HardXCore.cpl
PhotoShop6.xCrack.cpl
BioHazard.cpl
VisualBasic.Net.cpl
Zidane.Taliban.cpl
VideoPortoSeguro.cpl
PSX2EmulatorFree.Zip .cpl
sexo_en_la_calle.cpl
sexo_anal_full_video.cpl
sexo_oriental_full_video.cpl
muertes_videos.cpl
fullvideo_anal_action.zip .cpl
Para evadir la detección y eliminación de algunos antivirus, el gusano manipula archivos de datos e información del registro al cual modifica:

[HKEY_LOCAL_MACHINESOFTWAREKasperskyLabSharedFilesFolder]

y apuntando al directorio de Windows altera la llave de registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
default = PAV.EXE C:\%windir%

con el propósito de prevenir que PER ANTIVIRUS® sea ejecutado al inicio del sistema. Adicionalmente intenta borrar, infructuosamente, los siguientes archivos correspondientes a nuestro software:

C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll

así como también intenta borrar los siguientes archivos de la carpeta de Windows:

PAV.EXE
asesavp.set
systemvshield.vxd
system32vshield.vxd
vshield.vxd

Dentro de su código viral se puede leer esta cadena, no visible para los usuarios:

"unidadworm"

No podemos ocultar nuestra satisfacción de que un creador de virus haya considerado la posibilidad de deshabilitar nuestro software y nos sentimos orgullosos de que 30 minutos después de recibir la primera muestra pudiésemos controlarla.



Otras noticias de interés:

Exploit Microsoft Windows Metafile (WMF) Image Handling Remote (MS05-053)
Frsirt.com ha publicado el exploit para la vulnerabilidada MS05-053 (Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424) del cual informo microsoft el día 8/11/2005....
Gusano se aprovecha de contraseñas nulas en SQL Server
Un gusano conocido como Voyager Alpha Force, se aprovecha de servidores Microsoft SQL Server instalados con contraseñas de administrador en blanco (sa), para la ejecución de un archivo ejecutable descargado de un sitio FTP en las Filipinas. ...
Microsoft podría espiar conversaciones en Skype
La compra del programa líder en telefonía por Internet despertó recelos, que iban en la dirección del peligro de una posición dominante en un mercado con grandes expectativas de crecimiento: Microsoft, dueño del escenario VoIP, con las consigui...
PowerPoint: invocación automática del navegador
Los archivos PPT (Microsoft PowerPoint), generalmente son aceptados como adjuntos no peligrosos. Sin embargo, pueden convertirse en un serio riesgo de acuerdo a la información de una debilidad recientemente revelada por SecuriTeam.com. ...
Múltiples vulnerabilidades en Apple Quicktime 7.x
Se han encontrado siete vulnerabilidades en Apple Quicktime 7.x que podrían ser explotadas por un atacante remoto para saltarse restricciones de seguridad, acceder a información sensible, ejecutar código arbitrario y comprometer un sistema vulnera...
Vulnerabilidades en el protocolo TCP
El CERT acaba de publicar un aviso (Vulnerabilities in TCP) sobre una vulnerabilidad en el protocolo TCP que puede ser utilizada por realizar ataques de Denegación de Servicio (DoS) en aquellos servicios que se basan en la utilización de sesio...
Periodistas internacionales alertan sobre nuevas formas de censura en Internet
Un grupo de periodistas ha advertido de los riesgos a los que se enfrenta el periodismo con el refinamiento de la censura en Internet y la aplicación de determinadas tecnologías publicitarias para controlar más la información. ...
!!! ALERTA ¡¡¡ Aparece el virus World Cup, una variante de VBS/Chick.F !!!
Panda Software, ha informado sobre la aparición del gusano VBS/Chick.F (alias WorldCup). Esta nueva variante de Chick hace uso de la Ingeniería Social para engañar al usuario, ya que el contenido del mensaje de correo electrónico en el que llega ...
Algoritmos Cuánticos en el MOOC Computación y Criptografía Cuántica de Crypt4you
Han publicado la tercera lección del curso de Computación y Criptografía Cuántica en el MOCC Crypt4you, de los autores Dra. Alfonsa García, Dr. Francisco García y Dr. Jesús García, pertenecientes al Grupo de Innovación Educativa GIEMATIC de ...
Espaldarazo a Proyecto de Ley de Software Libre en Colombia
El Gobierno, legisladores, académicos y expertos en el área de la informática expresaron su respaldo al proyecto de ley, de la representante Gloria Stella Díaz, que sugiere la implementación en Colombia del denominado sistema Software Libre....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • avp
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • daduni
  • debian
  • deshabilitar
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • intenta
  • internet
  • isos
  • isticado
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mcafee
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • per
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra