Nueva alerta de virus -- Migrate, un nuevo virus en Kazaa


Migrate es un gusano que se propaga masivamente en un mensaje de correo con un archivo anexado de 287.5 KB de nombre gretting.card.bat. Se propaga a través de la Libreta de Direcciones de Microsoft Outlook, Outlook Express, los canales de Chat que usen los software mIRC, PIRCH, etc., el DCC (Direct Client Connection) y la red de intercambio de archivos Kazaa.





Al ejecutar el archivo infectado el gusano se auto-copia con diferentes nombres a las siguientes carpetas:
C:greeting.card.bat
C:M0.VBS
C:GREETS.JPG
C:B4.ACP
C:Program FilesMIRCScript.Ini
%Directorio actual%g2b2r8.vbs
%Directorio actual%u4q3
%Directorio actual%f8i4
%Directorio actual%m0q4
%Directorio actual%f3

Cuando se ejecuta greeting.card.bat, crea el archivo MO.VBS que es el Visual Basic Script que auto-envía el gusano a través de la Libreta de Direcciones de MS Outlook y Outlook Express

GREETS.JPG es un archivo real con formato .JPG que se muestra en pantalla cuando se ejecuta el gusano.

B4.ACP es un archivo renombrado que modifica las llaves de registro para activar la carpeta de Kazaa:

[HKEY_CURRENT_USERSoftwareKazaaLocalContent]
DisableSharing = "dword:00000000"

[HKEY_CURRENT_USERSoftwareKazaaLocalContent]
Dir0 = "012345:c:u7n6"

Estas llaves de registro son modificadas, sin necesidad que el software Kazaa se encuentre instalado y de estarlo, los archivos creados, que están infectados podrán ser compartidos por los usuarios de la red Kazaa.

El gusano también crea esta carpeta:

C:UTN6

Dentro de la cual el gusano se auto-copia con diferentes nombres de archivos:

animated_britney_spears_tits.gif.bat
anna_kournikova_sings.mp3.bat
natalie_portman_nude.jpg.bat
fuck_of_the_month.mpg.bat
free_vicodineES.scr.bat
starcraft_full_download.exe.bat
Kazaa.bat
morpheous.bat
the_matrix.mpg.bat
batman.bat

SCRIPT.INI es el archivo infectado que sobre-escribe al original del software mIRC, que está programado para auto-enviar copias del gusano a los usuarios que se conecten a una misma sesión de Chat. Si el sistema infectado no tiene instalada esta aplicación, el envío será truncado.

Los archivos sin extensión U4Q3, F8I4, M0Q4 y F3, contienen el código encriptado de los archivos M0.VBS, GREETS.JPG, SCRIPT.INI y B4.ACP que posteriormente son desencriptados y copiados por G2B2R8.VBS que es el Visual Basic que desencripta el código viral y que se auto-copia al directorio donde se ejecutó el gusano.


Se vivo, actualiza tu antivirus periodicamente.

Fuente: Inicio.com

Otras noticias de interés:

Vulnerabilidad grave 0-day en Adobe Acrobat y Reader
En los últimos 12 meses ha tenido tres vulnerabilidades graves, y hoy conocemos la cuarta....
Inyección de comandos SQL en PHPNuke
Según publica Scan Associates -en http://www.scan-associates.net/papers/phpnuke69.txt -, se han detectado vulnerabilidades en la versión 6.9 de PHPNuke. Además, es probable que se encuentren afectadas versiones superiores del popular sistema de g...
Virus: engranajes de una cadena criminal
Los virus se convierten en engranajes de una cadena criminal donde las grandes empresas son la víctima más débil....
Nuevo Virus Gaobot.S
Gaobot.S es un gusano con características de puerta trasera que afecta a ordenadores con sistemas operativos Windows XP/2000/NT. Gaobot.S aprovecha las vulnerabilidades RPC DCOM y WebDAV para propagarse al mayor número de ordenadores posible....
Google Chrome corrige varios errores de corrupción de memoria
Google Chrome es uno de los navegadores web más usados a nivel mundial. Como ocurre con todas las aplicaciones de software, cuando algo es utilizado por un gran número de usuarios, los piratas informáticos buscan posibles vulnerabilidades con las ...
Crackstation: PS3, todo un invento para descifrar contraseñas
La consola de Sony ha permitido a un investigador en seguridad aplicar la potencia de cálculo para descifrar contraseñas mucho más rápidamente que con las máquinas actuales....
Nosotros y la Ley Stalker
Ayer, se publicó en el Diario Oficial de la Nación (México) el decreto que aprueba diversas reformas para permitir el uso de la geolocalización para la persecución criminal bajo sospecha. A este conjunto de cambios legislativos se les conoce com...
Alerta: Troyano que se ejecuta mediante archivos WMF
Se ha detectado un exploit activo, que permite la ejecución de código malicioso por el simple hecho de visualizar un archivo con extensión WMF en una carpeta de Windows con vista previa activa, o simplemente ...
Ichthux, una distribución de Linux exclusiva para cristianos
Los creyentes cristianos ya tienen su propia distribución Linux disponible en diez idiomas. La primera distribución Linux para aquellos que profesan la fe cristiana ya esta casi lista. Disponible en versión beta, cualquiera puede descargarla de su...
Inyección de scripts en mensajes de error HTML
Internet Explorer utiliza como recursos de funcionamiento para uso interno, varios archivos HTML, que incluye en su paquete. La mayoría de estos archivos le permiten manejar mensajes de error HTTP en sitios web (llamados mensajes de error HTTP amis...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • kazaa
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • migrate
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra