Aparece Moe, un virus que incrementa extensión de archivos


Moe es un virus que tiene una programación muy sofisticada y hasta podríamos decir, muy interesante, ya que entre otras características, tanto el Remitente, el Asunto, Contenido y el archivo anexado del mensaje mediante el cual se propaga, es el resultado de la combinación aleatoria de cualquiera de los nombres y frases contenidas dentro su código.





Las combinaciones pueden ser algunas de las siguientes:
Primer nombre:

Mario, Enzo, Nadia, Gabriel, Federico, Andrea, Laura, Patricia, Osvaldo, Sofia, Sandra, Javier, Cristina, Pablo, Cecilia, Ariel, Silvia, Emilio, Flavia, Jorge.

Inicial del segundo nombre:

E., M., O., R., T., A., H., P., L.

Apellido:

Macchi, Rizzo, Rodrigue, Narvaez, Mosquera, Montagna, Miranda, Armitano, Kohan, Lewin, Machado, Miller, Ibarra, Gutierre, Castro, Godoy, Ferreira, Ferrer, Chiappe, Chiesa

Una vez completado el nombre, le sigue una dirección de correo elegido de cualquiera de las siguientes:

aldu5n_02@yahoo.com, mor8l_88@netscape.com, lime@illusive.org, lemax7@compuserve.com, xnto_678@hotmail.com, lecs2462@yahoo.com, 4588bell@netscape.com, vvgro55@illusive.org, 4653_trey@compuserve.com, wer937@hotmail.com

Asunto:

Seduccion
Humano
Musica
Mujer
Hombre
Confesion
Infidelidad
Belleza
Relaciones casuales
Tus deseos
Mi secreto
La clave
Enojo
Perdon
Responde!
Cita
Papelon
Renuncio
Monstruo
Joven

Cuerpo del mensaje:

Cap.3 El arte de provocar.
El Ser Humano que pudiste ser.
Esta es la musica que te prometi.
La mujer mas bella...
Un hombre entero.
Ya sabes que fui yo?.
Las imagenes de tu infidelidad.
No estas conforme con tu apariencia?
Esta es la lista para esta semana.
Si te conforman, puedo enviar mas.
Recorda tu promesa!
No la vuelvas a perder, no abuses.
Cuando veas esto, se te pasa.
Crei que ya lo habia enviado.
Nunca respondiste. No seas cruel.
Me gusto lo que enviaste. Si te gusta, arreglamos.
Te dije que es demasiado gorda. Mira!
No puedo mejorarlo, ya es perfecto.
Ahora te creo. Pobre mujer!
Disculpa, sos demasiado joven para mi.

Archivo anexado:

s_CAP3.EXE
HUMANO.EXE
MUSIC.EXE
MUJER.EXE
HOMBRE.EXE,
CONFESION.EXE
INFIEL.EXE
BELLEZA.EXE
LISTArc.EXE
DESEOS.EXE
SECRETO.EXE
CLAVE.EXE
YO.EXE
FEOS.EXE
PASION.EXE
CITA2.EXE
GORDA.EXE
CUERPO.EXE
MONSTRUO.EXE
JOVEN.EXE

El gusano Moe está dividido en 2 partes: El programa que infecta los archvios de archivos y el gusano en sí. Cuando el destinatario ejecuta el archivo anexado, el programa que infecta los archivos se copia a la carpeta C:Windows, desde la cual busca por un archivo .EXE que es auto-generado en forma aleatoria y parcialmente desde esta cadena:

leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

legin.exe
olaso.exe
Peyeg.exe
uiEsm.exe
tpeg.exe
LAdkl.exe
itygh.exe
bcxs.exe
skal.exe
Bxvqe.exe

Al encontrar cualquiera de estos archivos auto-generados, lo ejecuta. Luego busca en las carpetas C:Windows y C:WindowsSystem los archivos con extensión .EXE o .SCR e infecta exactamente 3 archivos en cada carpeta. La modalidad de infección consiste en incrementar la extensión del archivo e insertar su código en la parte final del mismo.

Si la fecha es 28 de Marzo, Junio, Septiembre o Diciembre, el gusano ejecuta su payload mostrando una caja de diálogo que relampaguea, como un efecto Flash, hasta que el ordenador sea reiniciado o la fecha del día sea cambiada.

Después que este proceso de infección finaliza, se ejecuta el siguiente accionar del gusano, el cual verifica si ya existe en la carpeta C:Windows los archivos .EXE auto-generados de la cadena previa: leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

Para asegurarse de ser ejecutado, la próxima vez que se inicie Windows, el gusano agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] C:\%Windir%\%filename% con el valor C:\%Windir%\%filename%

%Windir% es el directorio de Windows y el archivo %filename% es el nombre auto-generado desde la cadena.

El gusano captura las configuraciones SMTP (Simple Mail Transfer Protocol) del registro del sistema infectado y busca las direcciones de correo en los archivos *.ht* (HTM, HTML, SHTML) de las carpetas temporales y si las encuentra, se auto-enviará a esos buzones de correo en el mismo formato que inicialmente llegó al equipo que infectó.

El componente del gusano no enviará mensajes de correo si no encuentra una conexión a Internet disponible, pero de hacerlo lo hará en un máximo de 12 mensajes y para controlar ese envío crea una llave de registro en:

[HKEY_LOCAL_MACHINESoftware]

la misma que será usada para marcar los tiempos en los cuales envía los mensajes.



Otras noticias de interés:

Sophos: Reconocimiento facial en Facebook vulnera privacidad
Facebook ha habilitado el reconocimiento facial, una nueva capacidad que, según la firma de seguridad Sophos, pone en riesgo la privacidad de millones de usuarios....
Vulnerabilidad en iPhone: Hotspot Hijacking
La nueva versión del software del iPhone 3.0 inicia de forma automática el Safari en determinadas circunstancias cuando se conecta a una red Wi-Fi....
México dice sí a ACTA
El mansaje que quiere dar el gobierno mexicano según Roque Díaz, Presidente del Instituto Mexicano de la Propiedad Industrial, IMPI es de disposición para combatir la piratería, sin duda grave problema en el mundo, sin embargo, este hecho que par...
No más soporte a Firefox 3.5
Mozilla ha decidido no dar más soporte a Firefox 3.5 y el próximo 21 de junio desaparecerá, fecha en la cual se producirá la llegada de Firefox 5....
Chrome arregla dos fallos de seguridad graves
Google soluciona dos vulnerabilidades graves en la versión estable de Chrome, que pueden hacer que un usuario malicioso tome el control del ordenador afectado....
Según equipo de seguridad de Microsoft: Windows de 64 bits es más seguro
Los usuarios que trabajan con las versiones de 64 bits del sistema operativo Windows tienen menos posibilidades de versa infectados por un ataque de código....
Microsoft publicará mañana tres actualizaciones de seguridad
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres parches de seguridad, dos destinados a su sistema operativo Windows y uno a su suite ofimática Office....
Protege tu navegador para que no "secuestren" tu página de inicio
En estos momentos, uno de cada tres internautas está sufriendo la pesadilla de intentar acceder a su página de inicio y encontrarse con que ésta se encuentra bloqueada, debido a que programas maliciosos la han secuestrado con fines dudosos. Por e...
Symantec explica importancia de las actualizaciones de seguridad
A juicio de Symantec, los crackers y personas malintencionadas que desarrollan virus, gusanos y otras amenazas son peligrosos para todos los usuarios de Internet, pero en especial para aquellos que se conectan en el hogar, porque ahí ...
El derecho a la tecnología
Ha veces me detengo a pensar el porque se dan determinadas circunstancias en torno al derecho y su relación (o falta de ella) con la tecnología o los hechos que generan responsabilidades y cuya característica principal es justamente la informátic...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aparece
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • extension
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • incrementa
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • moe
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra