W32/VB.CFT

W32/VB.CFT, es un gusano que se difunde a través de envío masivos de e-mail, utiliza su propio motor SMTP para enviarse a todas las direcciones de e-mail que encuentre en el computador atacado.

Características del Mensaje de E-mail:

Asunto: [Ninguno]

Cuerpo:

Dear Valued Member,

According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended within 24 hours for security reasons.

After following the instructions in the sheet, your account will not be interrupted and will continue as normal.

Thanks for your attention to this request. We apologize for any inconvenience.

http://www.[caracteres_aleatorios]/confirm.php?account=[caracteres_aleatorios]

Sincerely, Abuse Department

Archivo Adjunto: [ninguno]

------------------------------

El Mensaje de e-mail contiene un enlace para descargar un archivo desde el siguiente sitio Web remoto:

http://[bloqueado]raryonline.com/confirmation_form.exe

Cuando el gusano se ejecuta copia un archivo dentro de:

• %system%\lspool.exe

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Local Spooler"="%system%\lspool.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

"Local Spooler"="%system%\lspool.exe"

Seguidamente el gusano envía mensajes a todas las direcciones de e-mail que encuentre en archivos con las siguientes extensiones, .adbh, .aspd, .cgil, .dbxn, .htmb, .html, .jspl, .phpq, .shtl, .tbbg, .txt, .wab y .xmls.

Finalmente abre un puerto TCP aleatorio e intenta establecer comunicación con un servidor IRC [mail.henchuk.info], si logra conectarse se une al canal IRC #ghost y permite a un atacante remoto ejecutar comandos en el computador atacado.

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú