SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Gusano w32/Blinkom que se
propaga vía ICQ, KaZaA, disquete, email, mIRC y recursos compartidos de red
Nombre de virus: W32/Blinkom
Alias conocidos: -
Riesgo Infección: Medio (Bajo,
Medio, Alto, Muy Alto)
Activación: Por ejecución
de fichero con extensión .PIF
Propagación: A través de ICQ, KaZaA, disquete, email, mIRC
y recursos compartidos de red
Detección: desde DATS 4218
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)
W32/Blinkom es un gusano que pretende propagar utilizando diferentes métodos: ICQ, KaZaA, disquete, correo electrónico, mIRC y recursos compartidos de red. Asimismo, intenta borrar aplicaciones cortafuegos (ZoneAlarm, BlackIce, Tiny, Sygate) y antivirus, hacer llamadas a Columbia, Barcelona, Puerto Rico, México, y a un número 1-900 en USA, así como realizar otros cambios en el sistema.
Para enviarse a través de correo electrónico reúne direcciones de email de la lista en caché de MSN Messenger. Los diferentes asuntos, cuerpos de mensaje y ficheros adjuntos que utilizan son:
Asunto: Los mejores chistes de Bin Laden
Mensaje: A todos mis amigos. Los mejores chistes que me
enviaron, éstos son los mejores.
Adjunto: BinLadilla.pif
Asunto: HISPASEC
Mensaje: Esta es la prueba de que HISPASEC roba importantes
bases de datos de muchas compañías, incluso hotmail. (los campos
en blanco son algunos datos omitidos por razones de a nonimato y
seguridad).
Adjunto: Noticia45.Txt.pif
Asunto: HISPASEC
Mensaje: This is the probe that HISPASEC steals important
databases of many companies (the fields in blank_target are some
data omitted by security and anonimity reasons)
Adjunto: NewsHS.Txt.pif
Asunto: Carnivore databases
Mensaje: BO2K publish pieces of database gathered by Carnivore.
Adjunto: CarnivoreStory.Pif
Asunto: Base de datos. Carnivore.
Mensaje: BO2K publica parte de la base de datos recopilada por
Carnivore
Adjunto: CarnivoreStory.pif
Asunto: VAN A VENDER HOTMAIL
Mensaje: parece que los de microsoft no se la pudieron,
prefirieron dedicarle tiempo al windows, amenazan con borrar las
cuentas, pero se puede evitar siguiendo unos estatuts que ellos
ponen a disposición. leelos o no tendras mas cuenta. chao.
Adjunto: Estatutos.Pif
Al ejecutar W32/Blinkom, este intenta copiarse en diferentes ubicaciones, entre las que se encuentran:
C:\
C:\Windows
C:\Program Files\KaZaA\My Shared Folder
C:\Program Files\ICQ\
A:\
y bajo diferentes nombres de fichero, con extensión .EXE, .SCR, .PIF, .TXT.PIF, etc.
Genera un fichero con extensión .HTML en C:\, el cual lo convierte en fondo de escritorio, y que muestra el siguiente mensaje:
"LO SIENTO ESTAS INFECTADO POR BLINK BY: RAZOR/GEDZAC".
Igualmente, modifica o sobreescribe los ficheros WIN.INI, SYSTEM.INI y SCRIPT.INI, y tras reiniciar el equipo infectado borra ficheros PWL y desactiva el mouse.
SATINFO, VIRUSCAN SPAIN SERVICE 10 de Septiembre de 2002
