Nueva alerta de virus -- Migrate, un nuevo virus en Kazaa


Migrate es un gusano que se propaga masivamente en un mensaje de correo con un archivo anexado de 287.5 KB de nombre gretting.card.bat. Se propaga a través de la Libreta de Direcciones de Microsoft Outlook, Outlook Express, los canales de Chat que usen los software mIRC, PIRCH, etc., el DCC (Direct Client Connection) y la red de intercambio de archivos Kazaa.





Al ejecutar el archivo infectado el gusano se auto-copia con diferentes nombres a las siguientes carpetas:
C:greeting.card.bat
C:M0.VBS
C:GREETS.JPG
C:B4.ACP
C:Program FilesMIRCScript.Ini
%Directorio actual%g2b2r8.vbs
%Directorio actual%u4q3
%Directorio actual%f8i4
%Directorio actual%m0q4
%Directorio actual%f3

Cuando se ejecuta greeting.card.bat, crea el archivo MO.VBS que es el Visual Basic Script que auto-envía el gusano a través de la Libreta de Direcciones de MS Outlook y Outlook Express

GREETS.JPG es un archivo real con formato .JPG que se muestra en pantalla cuando se ejecuta el gusano.

B4.ACP es un archivo renombrado que modifica las llaves de registro para activar la carpeta de Kazaa:

[HKEY_CURRENT_USERSoftwareKazaaLocalContent]
DisableSharing = "dword:00000000"

[HKEY_CURRENT_USERSoftwareKazaaLocalContent]
Dir0 = "012345:c:u7n6"

Estas llaves de registro son modificadas, sin necesidad que el software Kazaa se encuentre instalado y de estarlo, los archivos creados, que están infectados podrán ser compartidos por los usuarios de la red Kazaa.

El gusano también crea esta carpeta:

C:UTN6

Dentro de la cual el gusano se auto-copia con diferentes nombres de archivos:

animated_britney_spears_tits.gif.bat
anna_kournikova_sings.mp3.bat
natalie_portman_nude.jpg.bat
fuck_of_the_month.mpg.bat
free_vicodineES.scr.bat
starcraft_full_download.exe.bat
Kazaa.bat
morpheous.bat
the_matrix.mpg.bat
batman.bat

SCRIPT.INI es el archivo infectado que sobre-escribe al original del software mIRC, que está programado para auto-enviar copias del gusano a los usuarios que se conecten a una misma sesión de Chat. Si el sistema infectado no tiene instalada esta aplicación, el envío será truncado.

Los archivos sin extensión U4Q3, F8I4, M0Q4 y F3, contienen el código encriptado de los archivos M0.VBS, GREETS.JPG, SCRIPT.INI y B4.ACP que posteriormente son desencriptados y copiados por G2B2R8.VBS que es el Visual Basic que desencripta el código viral y que se auto-copia al directorio donde se ejecutó el gusano.


Se vivo, actualiza tu antivirus periodicamente.

Fuente: Inicio.com

Otras noticias de interés:

Gusano que se extiende a través de Yahoo! Messenger
El malware se esconde detrás de un mensaje que simula ser una fotografía de un amigo y que, además de reenviarse a los contactos de Yahoo Instant Messenger, puede cambiar las claves de registro....
Nueva versión ThunderBird 3.0.5
Mozilla liberó ayer la versión final de ThunderBird 3.0.5 en la que se producen varias correcciones en la interfaz de usuario, se mejora la notificación de los correos no leídos en MacOS X y se mejora el rendimiento en la indexación de los mensa...
Se ha detectado la aparición del nuevo gusano Densux (W32/Densux)
Se ha detectado la aparición del nuevo gusano Densux (W32/Densux). Este nuevo código malicioso se propaga a través de correo electrónico, enviándose a todos los contactos de la libreta de direcciones de Outlook....
Red Tor comprometida
La compañía de seguridad G Data ha encontrado una botnet de equipos controlados que se está dirigiendo desde la red Tor. El uso de esta red para manipular la botnet permite mantener el anonimato de su servidor de control y así evitar que se pueda...
El BYOD sin freno genera brechas de seguridad, dice Dell
Aunque el BYOD hace que las empresas sean más ágiles y mantienen a los trabajadores contentos, las empresas que acepten estas políticas necesitan seguir una estrategia más segura....
Potencial ejecución de código en enlaces de Skype
Todas las versiones clientes de Skype anteriores a la 3.8.0.139, son propensas a un error que permite la ejecución remota de código, comprometiendo el sistema del usuario que utilice una versión vulnerable de este software. ...
Ubuntu Tweak 0.3.5
Nueva versión de este excelente herramienta para tunear nuestro Ubuntu...
Vulnerabilidades Zero-Day en Adobe Flash y Reader
Que Adobe dispone de software muy popular en Internet como Adobe Flash y Adobe Reader es una obviedad, pero lo que más saca de quicio es ver cómo el último año ha sido un no parar de vulnerabilidades realmente críticas en los mismos....
Disponible XPressLinux 1.0
GNU/LINUX XPressLinux es una distribución GNU/Linux parecida a a la desaparecida WinLinux, la idea es facilitar al usuario de windows acostumbrado al interfaz de windows pero en un entorno linux como XPreessLinux....
Proponen crear una estrategia internacional contra ataques cibernéticos
La mejor arma contra los ladrones online, espías y vándalos que amenazan a las empresas globales y la seguridad sería una especie de regulación internacional del ciberespacio, indicaron expertos del sector...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alerta
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • kazaa
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • migrate
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra