Es capaz de propagarse a través de conexiones activas de red, y vía correo electrónico, enviándose como adjunto a direcciones recolectadas en el equipo infectado.
Puede llegar a nuestro PC en un mensaje electrónico con las siguientes características:
De: [una de las siguientes direcciones falsas]
abierman @ cisco .com
admin @ rarbrazil .com
agentx @ dorothy .bmc .com
arrowcomp @ xtra .co .nz
bwijnen @ lucent .com
case @ snmp .com
coders @ lists
daniele @ zk3 .dec .com
dbh @ enterasys .com
dev @ ethereal .com
dev @ ethereal .com
dhaskin @ baynetworks .com
disman @ dorothy .bmc .com
dlevi @ nortelnetworks .com
dthaler @ dthaler .microsoft .com
ellison @ world .std .com
estan @ net .utcluj .ro
fred @ cisco .com
freed @ innosoft .com
help @ winzip .com
hostmib @ andrew .cmu .edu
hreissl @ compuserve .com
hsseo @ buysoft .co .kr
hubmib @ hprnd .rose .hp .com
iana @ iana .org
info @ avir .sk
info @ italsel .com
info @ rarsoft .be
info @ winrar-rog .com
infoservice @ microsoft .at
inftec @ colomsat .net .co
jeff @ redbacknetworks .com
jimaz @ jimaz .cz
johnf @ rose .hp .com
kzm @ cisco .com
lheintz @ cisco .com
licensing @ sysinternals .com
line @ microsoft .hr
mark @ sysinternals .com
mcafeapc @ col3 .telecom .com .co
mcopray @ compuserve .com
meyer @ securecomputing .com
mibs @ ops .ietf .org
mscarsup @ microsoft .com
msccatus @ microsoft .com
mssupport @ nets .net .pk
mswsgulf @ microsoft .com
mundy @ tislabs .com
naradamoon @ operamail .com
neox @ pisem .net
password @ server links
pnpwin95 @ supra .com
presuhn @ bmc .com
provision @ pro .ro
ramk @ cisco .com
rar @ ols .es
regsite @ skulski .com
rfrye @ cosinecom .com
rkinput @ microsoft .com
robbykang @ jsresource .com
rod @ st .net .au
rom @ innocent .com
rpresuhn @ bmc .com
sales @ defsol .se
sales @ keszo .com
sales @ panda .co .jp
sales @ rarreg .com
sales @ tfmik .ru
sam @ rarsoft .com .tw
sar @ epilogue .com
schoenw @ ibr .cs .tu
sgudur @ hotmail .com
sitesales @ winzip .com
sitesales @ winzip .com
snmpv3 @ lists .tislabs .com
sonishi @ baynetworks .com
support @ atitech .ca
support @ rararchiver .com
support @ stb .com
support @ tamos .com
support @ winzip .de
techsupport @ matrox .com
techsupport @ tridmicr .com
ts @ polynet .lviv .ua
users @ ethereal .com
ventes @ adc-soft .com
vjohnie @ debian .org
vmlich @ mbox .vol .cz
waldbusser @ ins .com
waldbusser @ lucent .com
webmaster @ acon .com .au
winrar @ rog .de
Asunto: [uno de los siguientes]
ATTN
ATTN TO EVERYBODY!
Incredible news!
NEWS
READ AND RESEND ASAP
URG
URGENT NEWS
White house news!
Texto del mensaje: [uno de los siguientes]
3rd Glogal War Just Started!!! Read more in file!
GLOBAL NUCLEAR WAR JUST STARTED! News in file.
Nuclear War in Russia! Read news in file!
Nuclear WAR in USA! Read attached file!
President Bush DEAD! Read attached file!
President Putin dead! Read more in attached file!
Putin and Bush starts NUCLEAR WAR! Check the file!
Datos adjuntos: [uno de los siguientes archivos]
a.exe
about me.exe
last.exe
latest news.exe
never.exe
open.exe
read me.exe
truth.exe
war.exe
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\wservice.exe
También intenta crear los siguientes archivos:
TgH5omv.exe
svcp.csv
winsub.xml
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
UpdateService = "c:\windows\system32\wservice.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
UpdateService = "c:\windows\system32\wservice.exe"
Modifica la siguiente entrada para desactivar el servicio Firewall de Windows y la conexión compartida a Internet (ICS):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
Puede finalizar procesos cuyos nombres contengan algunas de las siguientes cadenas, si los mismos están activos en el sistema afectado:
blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Registry Editor
spybot
troja
vsmon
zonea
Crea los siguientes mutex para no ejecutarse más de una vez en memoria:
Kusyyyy
gagagaradio
|
