Nombre de virus: W32/Floodnet@MM
Alias conocidos: Backdoor.Delf.db, Trojan/FldNet.A, Win32/Cute.Worm
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero adjunto a e-mail
Propagación: Por distribución masiva a través de correo electrónico
Detección: desde DATS 4200
Motor necesario: desde 4.1.50
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Floodnet@MM es un troyano de acceso remoto y también gusano mass-mailing. Cuando se ejecuta, intenta enviar un mensaje al alias "All users" utilizando Microsoft Outlook. Si esta dirección no se encuentra en la libreta de direcciones local o global, o no existe un alias en el servidor SMTP especificado, el mensaje no será enviado. En caso contrario, el mensaje enviado es el siguiente:

Asunto: Thoughts...
Mensaje: I just found this program, and, i dont know why...but it reminded me of you. check it out.
Adjunto: Cute.exe (228,352 bytes)

 

Al ejecutar el fichero adjunto, se copia al directorio WINDOWS como KERNEL32.EXE, y se crean dos claves de registro:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Windows=C:\WINDOWS\KERNEL32.EXE

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Windows=C:\WINDOWS\KERNEL32.EXE

Así como dos claves en ficheros SYSTEM.INI y WIN.INI:

· SYSTEM.INI - [boot]\shell=explorer.exe C:\WINDOWS\KERNEL32.EXE

· WIN.INI - [windows]\load=C:\WINDOWS\KERNEL32.EXE

El gusano busca los siguientes programas de seguridad (incluyendo programas antivirus y de cortafuegos) en memoria y en caso de encontrarlos los finaliza:  

· Anti-Trojan.exe

· ANTS.EXE

· APLICA32.EXE

· AVCONSOL.EXE

· AVP.EXE

· AVP32.EXE

· AVP32.EXE

· AVPCC.EXE

· AVPCC.EXE

· AVPM.EXE

· AVPM.EXE

· blackd.exe

· blackice.exe

· CFIADMIN.EXE

· CFIAUDIT.EXE

· CFINET.EXE

· CFINET32.EXE

· cleaner.exe

· cleaner3.exe

· expl32.exe

· FRW.EXE

· iamapp.exe

· iamserv.exe

· ICLOAD95.EXE

· ICLOADNT.EXE

· ICMON.EXE

· ICSUPP95.EXE

· ICSUPPNT.EXE

· IFACE.EXE

· LIBUPDATE.EXE

· lockdown2000.exe

· minilog.exe

· MooLive.exe

· MPGSRV32.EXE

· Mssmmc32.exe

· NAVAPW32.EXE

· NAVW32.EXE

· nvarch16.exe

· PCFWallIcon.EXE

· RunDii.exe

· RunDIl.exe

· rundli.exe

· SAFEWEB.EXE

· Sphinx.exe

· tca.exe

· TDS2-.EXE

· TDS2-.EXE

· TEMP.EXE

· VSECOMR.EXE

· VSHWIN32.EXE

· vsmon.exe

· VSSTAT.EXE

· WEBSCANX.EXE

· WinDll.exe

· WrAdmin.exe

· WrCtrl.exe

· zonealarm.exe

Lo anterior ayuda a disimular las acciones de W32/Floodnet@MM. La extensión .VX se registra en el sistema:

· HKEY_CLASSES_ROOT\.vx\(Default)=exefile

· HKEY_CLASSES_ROOT\.vx\Content Type=application/x-msdownload

· HKEY_CLASSES_ROOT\.vx\NeverShowExt=

Un atacante podría enviar diversos comandos a la máquina infectada. Entre los comandos se incluye:

· Enviar mensajes via MSN Messenger y AOL Instant Messenger

· Enviar e-mail

· Comandos de Flood (de inundación), para iniciar un ataque de denegación de servicios

· Varios comandos IRC (join/part channels, privmsg, etc)

· comandos FTP (file access, copy, move, delete)

Se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en nuestra web www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE 09 de Mayo de 2002

Anterior