Aparece Moe, un virus que incrementa extensión de archivos


Moe es un virus que tiene una programación muy sofisticada y hasta podríamos decir, muy interesante, ya que entre otras características, tanto el Remitente, el Asunto, Contenido y el archivo anexado del mensaje mediante el cual se propaga, es el resultado de la combinación aleatoria de cualquiera de los nombres y frases contenidas dentro su código.





Las combinaciones pueden ser algunas de las siguientes:
Primer nombre:

Mario, Enzo, Nadia, Gabriel, Federico, Andrea, Laura, Patricia, Osvaldo, Sofia, Sandra, Javier, Cristina, Pablo, Cecilia, Ariel, Silvia, Emilio, Flavia, Jorge.

Inicial del segundo nombre:

E., M., O., R., T., A., H., P., L.

Apellido:

Macchi, Rizzo, Rodrigue, Narvaez, Mosquera, Montagna, Miranda, Armitano, Kohan, Lewin, Machado, Miller, Ibarra, Gutierre, Castro, Godoy, Ferreira, Ferrer, Chiappe, Chiesa

Una vez completado el nombre, le sigue una dirección de correo elegido de cualquiera de las siguientes:

aldu5n_02@yahoo.com, mor8l_88@netscape.com, lime@illusive.org, lemax7@compuserve.com, xnto_678@hotmail.com, lecs2462@yahoo.com, 4588bell@netscape.com, vvgro55@illusive.org, 4653_trey@compuserve.com, wer937@hotmail.com

Asunto:

Seduccion
Humano
Musica
Mujer
Hombre
Confesion
Infidelidad
Belleza
Relaciones casuales
Tus deseos
Mi secreto
La clave
Enojo
Perdon
Responde!
Cita
Papelon
Renuncio
Monstruo
Joven

Cuerpo del mensaje:

Cap.3 El arte de provocar.
El Ser Humano que pudiste ser.
Esta es la musica que te prometi.
La mujer mas bella...
Un hombre entero.
Ya sabes que fui yo?.
Las imagenes de tu infidelidad.
No estas conforme con tu apariencia?
Esta es la lista para esta semana.
Si te conforman, puedo enviar mas.
Recorda tu promesa!
No la vuelvas a perder, no abuses.
Cuando veas esto, se te pasa.
Crei que ya lo habia enviado.
Nunca respondiste. No seas cruel.
Me gusto lo que enviaste. Si te gusta, arreglamos.
Te dije que es demasiado gorda. Mira!
No puedo mejorarlo, ya es perfecto.
Ahora te creo. Pobre mujer!
Disculpa, sos demasiado joven para mi.

Archivo anexado:

s_CAP3.EXE
HUMANO.EXE
MUSIC.EXE
MUJER.EXE
HOMBRE.EXE,
CONFESION.EXE
INFIEL.EXE
BELLEZA.EXE
LISTArc.EXE
DESEOS.EXE
SECRETO.EXE
CLAVE.EXE
YO.EXE
FEOS.EXE
PASION.EXE
CITA2.EXE
GORDA.EXE
CUERPO.EXE
MONSTRUO.EXE
JOVEN.EXE

El gusano Moe está dividido en 2 partes: El programa que infecta los archvios de archivos y el gusano en sí. Cuando el destinatario ejecuta el archivo anexado, el programa que infecta los archivos se copia a la carpeta C:Windows, desde la cual busca por un archivo .EXE que es auto-generado en forma aleatoria y parcialmente desde esta cadena:

leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

legin.exe
olaso.exe
Peyeg.exe
uiEsm.exe
tpeg.exe
LAdkl.exe
itygh.exe
bcxs.exe
skal.exe
Bxvqe.exe

Al encontrar cualquiera de estos archivos auto-generados, lo ejecuta. Luego busca en las carpetas C:Windows y C:WindowsSystem los archivos con extensión .EXE o .SCR e infecta exactamente 3 archivos en cada carpeta. La modalidad de infección consiste en incrementar la extensión del archivo e insertar su código en la parte final del mismo.

Si la fecha es 28 de Marzo, Junio, Septiembre o Diciembre, el gusano ejecuta su payload mostrando una caja de diálogo que relampaguea, como un efecto Flash, hasta que el ordenador sea reiniciado o la fecha del día sea cambiada.

Después que este proceso de infección finaliza, se ejecuta el siguiente accionar del gusano, el cual verifica si ya existe en la carpeta C:Windows los archivos .EXE auto-generados de la cadena previa: leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

Para asegurarse de ser ejecutado, la próxima vez que se inicie Windows, el gusano agrega la siguiente llave de registro:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] C:\%Windir%\%filename% con el valor C:\%Windir%\%filename%

%Windir% es el directorio de Windows y el archivo %filename% es el nombre auto-generado desde la cadena.

El gusano captura las configuraciones SMTP (Simple Mail Transfer Protocol) del registro del sistema infectado y busca las direcciones de correo en los archivos *.ht* (HTM, HTML, SHTML) de las carpetas temporales y si las encuentra, se auto-enviará a esos buzones de correo en el mismo formato que inicialmente llegó al equipo que infectó.

El componente del gusano no enviará mensajes de correo si no encuentra una conexión a Internet disponible, pero de hacerlo lo hará en un máximo de 12 mensajes y para controlar ese envío crea una llave de registro en:

[HKEY_LOCAL_MACHINESoftware]

la misma que será usada para marcar los tiempos en los cuales envía los mensajes.



Otras noticias de interés:

Móviles con GPS: ¿útiles o peligrosos?
Las alertas sobre el iPhone y otros dispositivos sobre el almacenamiento de datos de las rutas que siguen los usuarios abren el debate sobre la intimidad....
Luis Tascón ¿Abogado del diablo?
Varios correos han querido señalar que es posible que tascón no sepa lo qué está pasando, que esté mal asesorado, etc., etc.. Pues yo creo que si alguien sabe muy bien lo que está pasando y lo que va a pasar es este diputado con cara de n...
TuxInfo #24 Publicada
Una nueva entrega de Tuxinfo ha sido publicada. Esta revista se ha convertido en un referente para muchos usuarios que día a día van aprendiendo de sus noticias, trucos, tips y recomendaciones. Te invito a apoyar Tuxinfo....
Apple corrige problemas de seguridad en iTunes y Quicktime
Apple inicia la semana con actualizaciones, y lo hace para solucionar diferentes problemas de seguridad en dos de sus productos: Quicktime y iTunes....
Computadoras con memoria plástica
El plástico común y corriente, el que encuadra a los protectores de pantalla de las computadoras, se usará para elaborar piezas para extender la memoria del disco duro. ...
Políticas de seguridad de datos son insuficientes
Las políticas de seguridad de datos son insuficientes en la mayoría de las empresas, La mayoría de los ejecutivos son conscientes de la importancia de clasificar información, pero no suelen hacer un seguimiento de esta....
Cuidar el ADN de la empresa
El grueso de los activos de una empresa y lo que realmente le da valor son los elementos intangibles: contratos, carteras de clientes, patentes, marcas, fórmulas y un largo etcétera que se esconde tras los sistemas de gestión de las organizaciones...
Suplantación biométrica
Lo que hasta ahora parecía solo posible en las películas de cine, empieza a ser estudiado como una posible amenaza: engañar los sistemas de identificación biométricos mediante suplantación....
Ya salío la Nueva versión de Winamp 3.
Ya esta disponible la version Winamp 3. con el parche correspondiente a una de las vulnerabilidas que lo aquejaban....
Mozilla a favor de la transparencia y privacidad en la web
Aza Raskin, importante desarrollador en Mozilla y creador de Panorama,ah ideado un conjunto de iconos que está compuesto por 13 imágenes que servirían para indicar si nuestros datos serán usados para otros fines diferentes a los del sitio en si, ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aparece
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • extension
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • incrementa
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • moe
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra