Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
-
Portada Foro Ayuda Tutoriales Programas Blog Tecnología Drivers Videos
Windows | Android | iOS | Comunidad | Hazte Fan | Síguenos Buscador



MSNFunny.D - W32/MSNFunny.D.wo

Nombre común: MSNFunny.D

Nombre técnico: W32/MSNFunny.D.worm

Peligrosidad: Baja

Tipo: Gusano

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección: 27/11/2007

Detección actualizada: 27/11/2007

¿Está en circulación? Si

Protección proactiva: Sí, mediante las Tecnologías TruPrevent

Descripción Breve

MSNFunny.D es un gusano que deshabilita el centro de seguridad de Windows, reduciendo considerablemente el nivel de seguridad del ordenador, lo que que dejaría al ordenador vulnerable frente al ataque de posibles amenazas.

Por otro, deshabilita la Protección de ficheros de Windows (WFP) y la comprobación de dichos archivos al iniciar sesión. Esto implica que los archivos protegidos de Windows pueden ser modificados, lo que podría ocasionar problemas con el sistema operativo y los programas instalados.

MSNFunny.D se propaga a través del programa de mensajería instantánea MSN Messenger.

Efectos

MSNFunny.D realiza las siguientes acciones:

Deshabilita las siguientes aplicaciones:

- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
Deshabilita el centro de seguridad de Windows:
- las notificaciones de las actualizaciones, del cortafuegos y del antivirus.
- la supervisión del antivirus y del cortafuegos desde el centro de seguridad.
- las actualizaciones del sistema operativo.
De esta manera, el nivel de protección del ordenador se reduciría considerablemente, lo que dejaría al ordenador vulnerable frente al ataque de posibles amenazas.
Deshabilita la Protección de ficheros de Windows (WFP) y la comprobación de dichos archivos al iniciar sesión:
- La Protección de ficheros de Windows evita que se reemplacen los archivos de sistema esenciales de Windows. Los programas no deben sobrescribir estos archivos porque el sistema operativo y otros programas los utilizan.
- La herramienta Comprobador de ficheros del sistema comprueba si los archivos protegidos han sido modificados. Si es así, recupera los archivos protegidos originales.
Al deshabilitar ambas características, los archivos protegidos de Windows pueden ser modificados, lo que podría ocasionar problemas con el sistema operativo y los programas instalados.

Está programado para iniciar los siguientes servicios:

- MSN Messenger, para poder propagarse y afectar al mayor número de ordenadores posible.
- Remote Registry, para acceder al Registro de Windows remotamente.
- Telnet, que permite acceder remotamente a un ordenador.
Está programado para eliminar los recursos compartidos para los discos duros locales.

Cuando se configura una red local, Windows crea recursos compartidos ocultos para los discos duros locales. Sin embargo, de esta manera, otros usuarios no podrían acceder a dichos recursos compartidos.

Metodo de Infección

MSNFunny.D crea los siguientes archivos en el directorio de Windows:

MSIMN.EXE, que es una copia de sí mismo.
PARTY_JPG.ZIP . Este archivo es una copia comprimida del gusano.
MSNFunny.D modifica el archivo SFC_OS.DLL del directorio de sistema de Windows para desactivar la protección de archivos de Windows.

MSNFunny.D elimina el contenido de los siguientes archivos:

TFTP.EXE y FTP.EXE, del directorio de sistema de Windows. De esta manera, impide ejecutar la utilidad ftp y tftp.
TFTP.EXE y FTP.EXE, de la subcarpeta DLLCACHE del directorio de sistema de Windows. De esta manera, no se pueden obtener las copias protegidas de los archivos de Windows.

MSNFunny.D crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
msimn.exe = %windir%msimn.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, MSNFunny.D consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas.
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
SFCScan = 00, 00, 00, 00

Deshabilita la comprobación de archivos de Windows al iniciar sesión.

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center Updates
DisableNotify = 00000001
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center
AntiVirusDisableNotify = 00000001
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center
FirewallDisableNotify = 00000001
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center
AntiVirusOverride = 00000001
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center
FirewallOverride = 00000001
HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft WindowsFirewall DomainProfile
EnableFirewall = 00000000
HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft WindowsFirewall StandardProfile
EnableFirewall = 00000000
HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate
DoNotAllowXPSP2 = 00000001
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion WindowsUpdate Auto Update
AUOptions = 00000001
Mediante estas entradas, deshabilita el centro de seguridad de Windows.


MSNFunny.D modifica las siguientes entradas del Registro de Windows:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
Shell = Explorer.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
Shell = Explorer.exe %windir%msimn.exe
Mediante esta modificación, MSNFunny.D consigue ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
SFCDisable = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
SFCDisable = 9D, FF, FF, FF
Mediante esta modificación, deshabilita la protección de archivos de Windows.


MSNFunny.D elimina las entradas del Registro de Windows de la ruta HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run que contengan alguna de las siguientes cadenas:
i11r54n4.exe
Bagle.X
rate.exe
winsys.exe
Bagle.k
irun4.exe
Bagle.j
bbeagle.exe
Bagle.a
d3dupdate.exe
teekids.exe
W32.Blaster.C
Penis32.exe
W32.Blaster.B
MSBLAST.exe
W32.Blaster
Bagle.v
Netsky.r
Mydoom.h
mscvb32.exe
ssate.exe
Sobig.c

Estas cadenas corresponden a otros ejemplares de malware y de esta manera impide que puedan ejecutarse con cada inicio de Windows.

Método de Propagación

MSNFunny.D se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:

El usuario recibe uno de los siguientes mensajes instantáneos y un archivo comprimido:

- En español

el lol mi hermana quisiera que le enviara este
lbum de foto
vengo de fi este foto
Hey i que hace el
lbum de foto! Si vea el loL del em
El tipo, me acepta por favor su solamente
lbum de foto: (!

- En inglés

looooook :p
loooooooooooool :D
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this

- En francés

eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le lol ceci est dr
ma soeur a voulu que tu regarde ca
faut de la reproduction sonore avez-vous vu ceci ?

- En alemán

lol meine Schwester w
nscht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
chten mein neues Fotoalbum sehen?

- En italiano

avete ottenuto vedere questo relativo cos
divertente
come lo pensate osservi qui
sguardo di lol a questo
controllo di distorsione di velocit
questo fuori

- En portugués

estes s
o realmente agrad
veis :P
wow voc
viu este?
como voc
gosta de me nesta foto
ou ver este seu assim engra

- En holandés

hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien lol
lol he hoe vind je me hier op

- En sueco

dessa
r egentligen trevliga: P
gyckel m
ste se dig detta fotografera
du fick se detta dess galet :p

- En turco

Bu resimler nasil sence bir bakarmisin :)
su komik resimlerime baksana :D
bak :P
Kiz kardesim bunlari sana yollamami s
yledi ;)
bu resimler space i
in nasil
Space ime bun resimleri eklesem sence nasil olur

La siguiente imagen es un ejemplo:


El archivo ZIP contiene un archivo ejecutable que si el usuario lo ejecuta, se descargará una copia del gusano en el ordenador afectado.
MSNFunny.D envía este mensaje a todos los contactos que estén conectados en ese momento.
Otros Detalles
MSNFunny.D tiene un tamaño de 559104 Bytes y está comprimido mediante Themida.



Enviado con fecha: 03-12-2007 17:10:01 - Visto: 3487 veces.


Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.


Foro Virus
Tengo un virus test.reg y no consigo eliminarlo.
Ayuda para eliminar babylon.
Como descargo antivirus.
Memorias infectadas.
Telefono samsung f480 lento y se me olvido contraseñ.
Pc se bloquea al conectar disco duro.
Que antivirus me recomiendan para mi laptop.
El antivirus indica: ke la pc no esta protegida.
Como elimino un bootstrapper_0-uvdhqmap_.
Como apagar el x7.






Ver también:
Msnfunny.d - w32/msnfunny.d.woMsnfunny.d - w32/msnfunny.d.wo »






Configurarequipos TVBajar Antivirus gratisCual es mi IPTest velocidadTrucosADSL
OverclockingForo ADSLDiccionarioWirelessMapa Segunda manoTiendas de informatica
Blog TecnologíaÚltimos VirusManualesSeguridadMapa ForoOrdenadores segunda mano

Aviso LegalPolitica de Privacidad
PORTADADirectorio



Buscar: en
ConfigurarEquipos.com® - 28 Marzo 2024 | Informática Windows | Mapa Web | Foro Ayuda