| Nombre común: MSNworm.BU
Nombre técnico: W32/MSNworm.BU.worm
Peligrosidad: Media
Tipo: Gusano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 11/01/2008
Detección actualizada: 11/01/2008
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
MSNworm.BU es un gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posible. El medio que utiliza para propagarse es el programa de mensajería instantánea MSN Messenger.
Además, establece conexiones con ciertas páginas web, desde las que descarga una actualización de sí mismo y un archivo de texto que contiene las frases que utiliza para propagarse.
Efectos
El objetivo principal de MSNworm.BU es propagarse a través de MSN Messenger y afectar al mayor número de ordenadores posible.
Además, establece conexiones con las siguientes páginas web:
www.freeown.com, desde la que se descarga una actualización de sí mismo, que puede incorporar nuevas funcionalidades.
asp-mians.com y www.parset.net. Desde estas páginas web se descarga un archivo de texto que contiene las frases que utiliza para propagarse a través de MSN Messenger.
Metodo de Infección
MSNworm.BU crea los siguientes archivos:
WBCMGR.EXE, en el directorio de sistema de Windows. Este archivo es una copia del gusano.
PIC08.ZIP, en la subcarpeta Local SettingsTemp del directorio Documents and Settings del usuario que haya iniciado sesión. Este archivo en una copia comprimida de sí mismo.
MSNworm.BU crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
System Services Monitor = %sysdir%wbcmgr.exe
donde %sysdir% es el directorio de sistema de Windows.
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
Wbcmgr = wbcmgr.exe
Mediante estas entradas, MSNworm.BU consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
MSNworm.BU se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:
El usuario recibe uno de los siguientes mensajes instantáneos y un archivo comprimido:
-AHAH u gotta see this!:D
-can I put this pic of you on my facebook?:D
-check it out, I cant believe I used to look like this
-dont you know this girl?
-haha do you really look like on this pic?
-haha I found your pic on facebook
-haha it looks like you:p
-haha it's a pic of my parents when they were young:D
-haha omg look at this, pic of me as a kid
-haha show this to everyone you know
-hahaha accept:
-have you seen this?:S looks like you
-I cant remember anything from this picture:D
-Is this really YOU?:D:D
-is this you?:S
-pic of me as a kid:D
-Send this to everyone in your list :P
El archivo comprimido, que tiene extensión ZIP, contiene un archivo ejecutable que si el usuario lo ejecuta, se descargará una copia del gusano en el ordenador afectado.
MSNworm.BU envía este mensaje a todos los contactos que estén conectados en ese momento.
La siguiente imagen es un ejemplo del mensaje instantáneo que envía:
src=http://www.linkeliminadophandaxxx/img/enc/MSNwormBU_img1.gif>
Otros Detalles
MSNworm.BU tiene un tamaño de 79360 Bytes.
|
|
