Nueva alerta de virus -- Migrate, un nuevo virus en Kazaa


Migrate es un gusano que se propaga masivamente en un mensaje de correo con un archivo anexado de 287.5 KB de nombre gretting.card.bat. Se propaga a través de la Libreta de Direcciones de Microsoft Outlook, Outlook Express, los canales de Chat que usen los software mIRC, PIRCH, etc., el DCC (Direct Client Connection) y la red de intercambio de archivos Kazaa.





Al ejecutar el archivo infectado el gusano se auto-copia con diferentes nombres a las siguientes carpetas:
C:greeting.card.bat
C:M0.VBS
C:GREETS.JPG
C:B4.ACP
C:Program FilesMIRCScript.Ini
%Directorio actual%g2b2r8.vbs
%Directorio actual%u4q3
%Directorio actual%f8i4
%Directorio actual%m0q4
%Directorio actual%f3

Cuando se ejecuta greeting.card.bat, crea el archivo MO.VBS que es el Visual Basic Script que auto-envía el gusano a través de la Libreta de Direcciones de MS Outlook y Outlook Express

GREETS.JPG es un archivo real con formato .JPG que se muestra en pantalla cuando se ejecuta el gusano.

B4.ACP es un archivo renombrado que modifica las llaves de registro para activar la carpeta de Kazaa:

[HKEY_CURRENT_USERSoftwareKazaaLocalContent]
DisableSharing = "dword:00000000"

[HKEY_CURRENT_USERSoftwareKazaaLocalContent]
Dir0 = "012345:c:u7n6"

Estas llaves de registro son modificadas, sin necesidad que el software Kazaa se encuentre instalado y de estarlo, los archivos creados, que están infectados podrán ser compartidos por los usuarios de la red Kazaa.

El gusano también crea esta carpeta:

C:UTN6

Dentro de la cual el gusano se auto-copia con diferentes nombres de archivos:

animated_britney_spears_tits.gif.bat
anna_kournikova_sings.mp3.bat
natalie_portman_nude.jpg.bat
fuck_of_the_month.mpg.bat
free_vicodineES.scr.bat
starcraft_full_download.exe.bat
Kazaa.bat
morpheous.bat
the_matrix.mpg.bat
batman.bat

SCRIPT.INI es el archivo infectado que sobre-escribe al original del software mIRC, que está programado para auto-enviar copias del gusano a los usuarios que se conecten a una misma sesión de Chat. Si el sistema infectado no tiene instalada esta aplicación, el envío será truncado.

Los archivos sin extensión U4Q3, F8I4, M0Q4 y F3, contienen el código encriptado de los archivos M0.VBS, GREETS.JPG, SCRIPT.INI y B4.ACP que posteriormente son desencriptados y copiados por G2B2R8.VBS que es el Visual Basic que desencripta el código viral y que se auto-copia al directorio donde se ejecutó el gusano.


Se vivo, actualiza tu antivirus periodicamente.

Fuente: Inicio.com

Otras noticias de interés:

La ciberseguridad: Pesadilla de los gobiernos en 2010
2010 ha sido el año en el que la seguridad se transformó en ciberseguridad, o, por decirlo de otra manera, el año en el que los militares de EE.UU. y su gobierno se llevaron una desagradable sorpresa. ...
Exploit basado en fuga del código fuente de Windows
Apenas dos días después de que partes del código fuente de Windows 2000 Service Pack 1, fueron publicadas en Internet, ha aparecido en varias listas de seguridad, el primer exploit que saca ventajas de un error descubierto en estas fuentes, ahora ...
Spammers crean sus propios acortadores URL
Con la intención clara de superar las defensas de seguridad tradicionales, los spammers han creado sus propios servicios de acortar las URL para incorporar enlaces cortos en sus mensajes de correo no solicitado. ...
Múltiples vulnerabilidades en servidores Oracle
CERT® Coordination Center advierte de la existencia de múltiples problemas de seguridad -la mayoría por desbordamientos de buffer- en Oracle9i Application Server, Oracle9i Database y Oracle8i Database. ...
Google ofrecerá firma única basada en OpenID
Google ha anunciado que se convertirá en proveedor de firma única (SSO- Single Sign On) utilizando soluciones OpenID. Gracias a ello, los usuarios de la compañía podrán crear nuevas cuentas en otros sitios autenticándose con la información de ...
Hackeadas diferentes páginas web del Gobierno de Venezuela
En el día de ayer y en el transcurso del día de hoy diferentes sitio web del Gobierno Venezolano le han practicado desface en sus páginas principales....
La criminalidad informática se traslada a la Web
El correo electrónico está perdiendo fuelle como medio de transmisión de virus y robo de información personal. Los criminales lo siguen usando, pero mezclan cada vez más técnicas y apuestan fuerte por la web. Primero fueron las páginas fra...
Microsoft anuncia escalada de privilegios en Windows
En un aviso de seguridad que no da demasiados detalles, Microsoft informa de una vulnerabilidad que permite una escalada de privilegios en prácticamente casi todas las versiones actualmente soportadas de Windows....
Boletines de seguridad de Microsoft
Microsoft ha publicado seis (en principio se anunciaron siete) boletines de seguridad (MS07-055 al MS07-060) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel...
Antes de pasar a manos de Oracle, Sun anuncia MySQL 5.4
Las cosas están cambiando rápidamente en la base de datos MySQL. El martes, al inicio de la MySQL Conference & Expo, Sun anunciaba nuevos planes de liberación. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • kazaa
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • migrate
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra