Este gusano crea sus copias en las unidades del equipo capturado y en los recursos de red en los que se puede escribir. Está escrito en C++.
Daños
Extrae de su cuerpo el siguiente archivo DLL:
C:\Documents and Settings\tazebama.dll – 32768 áàéò.
Este DLL contiene un modulo que extrae las siguientes copias del cuerpo del gusano:
%Documents and Settings%\tazebama.dl_: 154751 bytes in size
%Documents and Settings%\hook.dl_: 154751 bytes de tamaño.
Entonces el gusano verifica si existe una conexión a Internet y se contacta con una de las siguientes URLs:
http://www.hotmail.com
http://www.britishcouncil.com
http://www.microsoft.com
http://www.yahoo.com
El gusano lee la siguiente llave de registro para encontrar la ruta a la aplicación WinRAR: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WinRAR.exe y usa WinRAR para compactar su cuerpo con uno de los siguientes nombres:
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe
FaxSend.exe
RecycleBinProtect.exe
Disk Defragmenter.exe
CD Burner.exe
ShowDesktop.exe
BrowseAllUsers.exe
LockWindowsPartition.exe
Win98compatibleXP.exe
MakeUrOwnFamilyTree.exe
WindowsXp StartMenu Settings.exe
Recycle Bin.exe
Adjust Time.exe
Microsoft Windows Network.exe
HP_LaserJetAllInOneConfig.exe
FloppyDiskPartion.exe
msjavx86.exe
AmericanOnLine.exe
Crack_GoogleEarthPro.exe
Lock Folder.exe
InstallMSN11En.exe
InstallMSN11Ar.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Office2007 Serial.txt.exe
Office2003 CD-Key.doc.exe
Make Windows Original.exe
NokiaN73Tools.exe
WinrRarSerialInstall.exe
My Documents.exe
Readme.doc.exe
My documents .exe
Los archivos comprimidos se enviarán como adjuntos de mensajes de correo. Los correos pueden tener esta apariencia:
Asunto del mensaje:
ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Cuerpo del mensaje:
1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters. 2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters. Download the attached article to read.
Nombre del adjunto:
PROHIBITED_MATRIMONY.rar
Asunto del mensaje:
Windows secrets
Cuerpo del mensaje:
The attached article is on how to make a folder password . If your are interested in this article download it, if you are not delete it.
Nombre del adjunto:
FolderPW_CH(1).rar
Asunto del mensaje:
Canada immigration
Cuerpo del mensaje:
The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050. Download the attached file to know about the required forms. The sender of this email got this article from our side and forwarded it to you.
Nombre del adjunto:
IMM_Forms_E01.rar
Asunto del mensaje:
Viruses history
Cuerpo del mensaje:
Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called Trojan.Backdoor which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR. The sender has red the story and forwarded it to you.
Nombre del adjunto:
virushistory.rar
Asunto del mensaje:
Web designer vacancy
Cuerpo del mensaje:
Fortunately, we have recently received your CV/Resume from moister web site and we found it matching the job requirements we offer. If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent. Thanks Regards, Ajy Bokra Computer department. AjyBokra@webconsulting.com
Nombre del adjunto:
JobDetails.rar
Asunto del mensaje:
MBA new vision
Cuerpo del mensaje:
MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on Marketing basics to download. Our web site http://ww w.tazeunv.edu.cr/mba/info.htm Contacts: Human resource Ajy klaf AjyKolav@tazeunv.com The sender has added your name to be informed with our services.
Nombre del adjunto:
Marketing.rar
Asunto del mensaje:
problemo
Cuerpo del mensaje:
When I had opened your last email I received some errors have been saved in the attached file. Please inform me with those errors as soon as possible.
Nombre del adjunto:
îutlooklog.rar
Asunto del mensaje:
hi
Cuerpo del mensaje:
notes.rar
Unfortunately, I received unformatted email with an attached file from you.
I couldn't understand what is behind the words.
I wish you next time send me a readable file!.I forwarded the attached file
again to evaluate your self.
Nombre del adjunto:
doc2.rar
El gusano recopila direcciones de correo a las cuales enviará mensajes infectados desde los archivos con las siguientes extensiones:
.hlp
.html
.txt
.aspx
.cs
.aspx
.psd
.mdf
.rtf
.htm
.ppt
.php
.asp
.pas
.h
.cpp
.xls
.doc
.rar
.zip
.mdb
El gusano guarda las direcciones recopiladas en el archivo de registro:
%Application Data%\tazebama\zPharaoh.dat
El gusano no enviará mensajes a las direcciones de correo que contengan cualquiera de las siguientes palabras:
MICROSOFT
KASPER
PANDA
Después, el gusano infecta algunos archivos con las extensiones “lnk”, “exe” y “scr”, dependiendo del tamaño de las secciones de los archivos específicos. Cuando lo hace, decodifica su cuerpo y escribe sus componentes básicos al final de los archivos infectados. El gusano lee las rutas a los archivos a infectar de estas llaves de registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
De la misma manera, se infectan los archivos en la siguiente carpeta:
%Documents and Setting%\\Local Settings\Application Data\Microsoft\CD Burning
Si el gusano detecta archivos con la extensión “doc”, añade su copia a la misma carpeta con el mismo nombre, proporcionando la extensión “exe” al archivo.
Posteriormente, el gusano busca todas las unidades locales y portátiles, salvo la unidad C: en busca de carpetas con archivos. En estos archivos, el gusano crea su propia copia con el mismo nombre que la carpeta y la extensión "exe".
donde
El gusano crea su propia copia con uno de los siguientes nombres en las mismas carpetas:
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe
FaxSend.exe
RecycleBinProtect.exe
Disk Defragmenter.exe
CD Burner.exe
ShowDesktop.exe
BrowseAllUsers.exe
LockWindowsPartition.exe
Win98compatibleXP.exe
MakeUrOwnFamilyTree.exe
WindowsXp StartMenu Settings.exe
Recycle Bin.exe
Adjust Time.exe
Microsoft Windows Network.exe
HP_LaserJetAllInOneConfig.exe
FloppyDiskPartion.exe
msjavx86.exe
AmericanOnLine.exe
Crack_GoogleEarthPro.exe
Lock Folder.exe
InstallMSN11En.exe
InstallMSN11Ar.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Office2007 Serial.txt.exe
Office2003 CD-Key.doc.exe
Make Windows Original.exe
NokiaN73Tools.exe
WinrRarSerialInstall.exe
My Documents.exe
Readme.doc.exe
My documents .exe
El gusano obtiene una lista de direcciones IP de equipos en la misma red que el equipo capturado, y escribe su cuerpo en todos los recursos en los que se puede escribir, con uno de los nombres arriba mencionados.
El gusano también crea sus copias en las siguientes carpetas de los equipos capturados:
\%Documents and Settings%
\Start Menu\Programs\Startup
Cuando lo hace, el gusano usa las siguientes cuentas:
Administrator
Anonymous
Impone una contraseña elaborada con el carácter espacio y/o los siguientes caracteres:
abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789
El gusano guarda una copia de su cuerpo con el nombre “zPharaoh.exe” en las carpetas raíz de todas las unidades en las que se puede escribir:
zPharaoh.exe: 154891 bytes de tamaño.
Crea el siguiente archivo en las carpetas raíz de los mismos discos:
autorun.inf
El archivo autorun asegura la ejecución automática de la copia del gusano cuando se accede a los discos infectados con Windows Explorer.
El troyano también puede propagarse a través de CDs infectados. Para ello, crea su copia y un archivo autorun en la siguiente carpeta:
%ApplicationData%\Microsoft\CD Burning\zPharaoh.exe
%ApplicationData%\Microsoft\CD Burning\autorun.inf
A todas las copias del troyano y los archivos autorun se les asignan los atributos “Sólo lectura”, y “Oculto”.
Acto seguido, el gusano añade la siguiente información a la llave de registro, evitando que se muestren los archivos ocultos, del sistema y los protegidos.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "2" "HideFileExt" = "1" "ShowSuperHidden" = "0"
Finalmente, borra el siguiente valor de la llave de registro para permitir que los archivos “autorun.inf” se ejecuten automáticamente.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"
Instrucciones de eliminación
Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso: Actualice las bases de datos de su antivirus y haga un análisis completo de su equipo (descarga gratuita de una versión de prueba de Kaspersky Anti-Virus)
1 comentarios:
genio
Publicar un comentario