Categories: SeguridadVirus

Nuevo gusano disfrazado con remite de “support@microsoft.com”

En esta ocasión las casas antivirus no se han puesto de acuerdo en el nombre del gusano en los primeros momentos, bautizándolo entre otros como “Ccn”, “Mankx” o “Palyh”, siendo este último el que mas quórum ha conseguido finalmente.

Además del citado remite, simulando ser un mensaje de soporte de Microsoft, el e-mail en el que se distribuye el gusano puede ser detectado a simple vista atendiendo a los siguientes campos:

Asunto:

Your details

Approved (Ref: 38446-263)

Re: Approved (Ref: 3394-65467)

Your password

Re: My details

Screensaver

Cool screensaver

Re: Movie

Re: My application

Cuerpo:

All information is in the attached file.

Adjunto:

your_details.pif

ref-394755.pif

approved.pif

password.pif

doc_details.pif

screen_temp.pif

screen_doc.pif

movie28.pif

application.pif

En ocasiones se ha detectado la extensión .PI en vez de .PIF. Cuando se ejecuta en un sistema, el gusano se copia en el directorio de Windows con el nombre de archivo “msccn32.exe”, además de crear los archivos “hnks.ini” y “msdbrr.ini”. Posteriormente crea las siguientes entradas en el registro para asegurarse la activación cada vez que se inicie el sistema:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

System Tray = %WindowsDir%msccn32.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

System Tray = %WindowsDir%msccn32.exe

Con el mismo propósito de ejecutarse en el inicio de sistema, intenta infectar a otros equipos a los que tiene acceso a través de los recursos compartidos de la red, copiándose en las siguientes carpetas:

WindowsAll UsersStart MenuProgramsStartUp

Documents and SettingsAll UsersStart MenuProgramsStartup

Para propagarse por e-mail, recolecta todas las direcciones que encuentra en los archivos con extensión .TXT, .EML, .HTML, .HTM, .DBX y .WAB de todas las unidades a las que tiene acceso.

Como última peculiaridad, el gusano se desactiva el 31 de mayo de 2003, por lo que su rutina de propagación sólo funcionará hasta el día 30 del presente mes.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Recomendaciones de seguridad para mantener los almacenes libres de ciberdelincuencia

Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…

4 horas ago

La importancia de optimizar los pagos para generar más ingresos y reducir los costes

Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…

4 horas ago

Solamente 2 de cada 10 empresas reducen su huella medioambiental con tecnología

Del porcentaje global del 21 % se baja a un 18 % en el caso…

5 horas ago

Sophos: “El uso más frecuente de la IA en la ciberdelincuencia es para ‘turboalimentar’ sus estafas sociales”

Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…

5 horas ago

¿Cómo convertir a España en hub digital clave para Europa?

Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…

5 horas ago

El paralelismo entre la inteligencia artificial y la química

Dell Technologies compara estos ámbitos y habla de "purificar la materia original", "combinar elementos", una…

6 horas ago