Nombre de virus: W32/Duksten.o@MM
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Como fichero adjunto a e-mail
Activación: Por ejecución de fichero infectado
Detección: desde DATS 4267 (disponible 29/05/03) o con EXTRA.DAT
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)

Propagación por correo electrónico
El gusano consulta en el registro de sistema cual es el servidor SMTP por defecto, el cual utilizará para el envío de mensajes.

El mensaje puede contener textos variables como Asunto, Mensaje y Fichero Adjunto:

· ...solo Futbol?

· 21 formas para dejar a tu chico

· A veces llamamos carnaza televisiva pero son gente normal

· Amor y Odio a veces tan cercanos

· Ana Rosa Quintana escribio un libro que jamas leyo...o era al reves?

· BOMBAZO!!! MicroSoft compra Konami

· BitDefender un WebSite diferente para gente diferente

· Cuantas estrellas tiene el HoteL GlamoUr?

· E L I G E M E

· El Chico perfecto, amante de dia ...

· El Diario de Patricia podria ser suspendido de la programacion!

· El dia del YacuZi de Hornillos hubo algo mas que no salio en Tv

· El dice si pero ella dice NOOOOOOOOOOOOOO

· El lado bueno de SADAM HUSSEIN

· El odio de Bush no es a quien pensamos...

· Emma Garcia es la revelacion de las tardes en T5

· Emma TamarGo la mujer que nos eligio a todos

· En Tv las audiencias justifican el contenido...

· Encarni,Tamara y Dimio ... al HoteL...GLAMOUR!

· Es Sadam un tirano,un Robin Hood o un Hittler?

· Es cierto que me pasaste tu esto?

· Fotos ineditas de los satelites sobre armamento de IraK

· Hombre o MuJer?

· Hubo tongo en la isla de los famosos?

· Humanidad entera se revela contra el emperador Bush

· Is Paulina a Borde Girl or a BORDER Girl?

· Joyas literarias en miniatura...un gran marketing, pero este es mejor

· LISTAS CORAZON ROSA Maria Jimenez vs Pepe Sancho...un montaje?

· La chica ideal, amante en el lecho,ama de casa en el hogar y...por la noche?

· Las camaras ocultas que graban a otras camaras ocultas

· Las fotos de Malena que Rodriguez Menendez nunca publicara

· Las manazas de Zidane

· Lo de Gran Hermano toma valores de locura

· Lo que Javier Sarda nunca pondra en Cronicas

· Lo que no se vio en el anuncio de Ronaldo

· Lo que no te podras llevar nunca de un Hiper

· Mairena al hotel Glamour!

· Mares que soportan vertidos...

· Marta Lopez,Hornillos,David Flores...buen trieto

· Metal Gear Solid 3 no saldra para PS2!!!!

· Mus o Brisca?

· NOTICION...el Doom3 saldra para PS2 en el 2004

· Nunca creeria tal cosa...pero esto es TOMBOLA!

· Oculta algo Ana Rosa Quintana???

· Operacion Triunfo o Gran Hermano

· PARCHE adjunto para la vulnerabilidad iFraXPe del OutLook

· Pocholo no solo le tiro un vaso de agua a Karmele...

· Portatiles a un precio de ganga

· Prefieres la delantera del Madrid o la de esta chicarrona?

· Que hace a Patricia una mujer tan diferente del resto?

· Que harias si pudieses volver a empezar?

· Quienes dijeron que el Barsa estaba acabado?

· Re: de todos modos el C.V. no esta completo

· Re: por favor reenviame el EMail que no me llego

· SALSA ROSA:Alfonso Santisteban o Marisa Medina,quien miente?

· Sarda,CoTo MaTaMoRos y CIA no paran

· Si en Hotel Glamour sucediera esto...

· Si esto es cierto entonces mejor irnos del pais

· Si tienes WindowsXP cuidado con la actualizacion automatica!!!

· Sigue el PrestiGe soltando petroleo?

· Tongo en Operacion Triunfo?

· Tu si puedes tocar el piano

· Venturas y DesVenturas de un Enrique Del PoZo angustiado

· Y por fin empezo el HoTeL GlaMoUR y como no...POLEMICA!

· Yo no estuve en DinoPolis pero si en PortAventura

· Yola, todo un soldado de ... fortuna

· conoces a GigaBYte...una chica BelGa...

· cosas de Coto...

· cuantos programas llevan en Cronicas Marcianas?

· de un amigo

· el NO A LA GUERRA al reves de Amaral...?

· el VERDADERO asunto del jabon Nenuco al descubierto

· el beso de Pocholo BordiU a Karmele trae...colaaaa

· el lado mas tenebroso del presidente Irakie

· el motivo de que el Risitas y PoZZi no fueran con Pocholo al HoTel

· este chico llegara lejos...con este pedazo de...

· existen formas y formas pero esta no me gusta

· fotos del nuevo proyecto de la Zona0

· la metio Bertin en su sitio al conocer a Sonia?

· las fotos de Rocio Madrid que nunca se publicaron

· los tertulianos de Cronicas necesitan respirar hondo?

· nVidia es superada de nuevo por ATI con el RV450

· ni el mismisimo Ronaldo puede con esto

· no te creas todo lo que te dicen

· nueva version mas efectiva del mitico PandActiveScan

· por que A3tv suspendio La Sonrisa del Pelicano y no El Diario de Patricia?

· por que la peseta sigue venciendo al euro?

· primero fue Nenuco ahora le toca el turno a...

· quien sera el proximo en salir en la foto?

· te reenvio la foto para que veas que esta trucada!!!

· un interesante estudio de los PettiSuiss

· una nueva crisis en el Barcelona FC ?

· y acerca de la Coca-Cola...es la Coca...CoKa, o un gran fraude

· Algunas cosas no necesitan comentarios

 

· ah! y no creas que tengo sed de Amor...

· ah! no te olvides de visitar nuestra WEB

· aumenta esta base de datos y colabora!

· casi sois mil amigos...y lo celebro asi

· cuantos mas lo sepamos mejorrrr!!!!

· de Laura Stevz para esta base de datos

· de un amigo para mas amigos

· de un amigo para un amigo

· de un enemigo para un enemigo

· di no al spam, no a la guerra,no al PP

· espero que te guste, si no es asi dimelo

· este primer envio es gratis,no temas

· esto no es solo producto de la ilusion

· mensajes entre grupos de jovenes

· ni si ni no si no todo lo contrario

· no te olvides de pasarme los canticos

· puedes recoger mas informacion en yax.com

· recuerda pasar esto a un amigo u enemigo...

· recuerda que no todo el EMail es Spam

· reenvialo a todos los amigos de la guerra

· sacado de www.masqueocio.net

· si a la musica, no a la guerra

· si el adjunto esta defectuoso reenviamelo

· si tienes algo interesante PASAMELO!!!

· si todo lo que recibes es tan bueno,,,

· sintonizanos ahora en 6.145MHz a las 22h

· spam SI guerra NO

· todo esto y mucho mas en coderz.net

· todos los envios que hacemos estan limpios

· usa el ActiveScan de Panda por si acaso

· visitanos en www.quefuerte.com

· www.tocamelos.net la pagina mas dinamica!

· y di NOOOOOOOO a la guerra

· y recuerda que en LinuXWorld te esperamos

· estos envios no vulneran la LSCI ni la SGAE

 

· AMANECE

· AMARALX

· ANAMRFC

· ANTRA_X

· ARAMISF

· AZNAROF

· BERTINS

· BORISXX

· BUSTMAN

· CAMARAX

· CARDNAS

· CARRSCO

· CHENOAX

· CLINTON

· COCACLA

· COCAINA

· CONFDNC

· COTOMTR

· CRONICS

· DBISBAL

· DRILLER

· EDELPOZ

· EMMACIA

· ENVIDIA

· FABIERT

· FLAVIOC

· FOTOGRF

· GABLNDO

· GALINDO

· GORDITA

· GRGBUSH

· GRHERMN

· HTLGLMR

· HUSSEIN

· INAUDIT

· JENIFER

· JNFROPE

· JNLOPEZ

· JOANTEN

· JRGE_GH

· JVSARDA

· KANALLA

· KARMELE

· KARTMAN

· KIKO_GH

· K_I_K_O

· LAFLACA

· LERENDA

· LOMASXX

· LOREENA

· LUSOLMO

· MARISAS

· MATAMRS

· MAXIMOP

· MISILES

· MONDRIZ

· MTERELU

· NE_NUCO

· NOABRIR

· OZORESS

· PEPSICL

· PNE_GRD

· PRADERA

· PRSTIGE

· QMASTDA

· RITALIN

· ROCIOCM

· RONALDO

· ROSALPZ

· SA_DAM_

· SA__DAM

· SHOWFLO

· SIESTAS

· SONIAGH

· SONIAGH

· SPIDRMN

· ST_PARK

· SXLIDAD

· TEMPRAN

· TENORIO

· TOMBOLA

· TOREROS

· TXIQUIX

· URQIOLA

· VENTAS2

· ZAPATER

· ZIDANNE

· _AINOA_

· _B_E_T_

· __ANIA_

· OPTUBMY

 

 

Modificaciones en el sistema infectado
Cuando se ejecuta el gusano en un equipo, realiza una copia de sí mismo en (%WinDir% y %SysDir%), y configura claves de registro para ejecutar el fichero al inicio del sistema:

(donde %nombre_de_fichero% es el nombre de fichero del gusano. Durante las pruebas, las últimas dos claves sólo se han observado en sistemas basados en NT.)

El gusano crea un ZIP conteniendo una copia de sí mismo (utilizando uno de los nombres de fichero arriba mencionados):

%SysDir%\PRGRM.ZIP

También crea una copia del fichero ZIP codificada en base-64 (la utiliza para la propagación de correo):

(donde %SysDir% representa el directorio de sistema de Windows, p.e. C:\WINNT\SYSTEM32)

· Anti-Virus ActiveScan.exe

· Trucos de Windows.exe

· Norton Updates.exe

El gusano también se copia en la carpeta "Mis Documentos" utilizando los siguientes nombres de fichero (con extensión .EXE):

· MicroSoft

· LoMasDuro

· Ferrari_F50

· Mirame!

· TvInteligente

· Tatiana_Veronica

· BradPitt Home Page

· pagina oficial de GeorgeClooneY

· U52

· B30

· MatriX2 Trailers

· Desnudos gratis

· ConeJitas!!!

· Pagina Web de Boris

· PlayStation3

· Cosas Indiscretas

· MandraGora

· WEB del Partido Popular

· Meneito

· PlayBoY

· pagina WEB Camela

· Cronicas Marcianas On-Line

· Real Madrid en internet

· Barcelona CF OnLine

· Irak in War!

· Tutoriales de Programacion

· Hotel Glamour en la red

· Foros Hotel Glamour

· Erotismo en la Red

· Pamela Anderson unoficial page

· fotos de famosos

· Camaras ocultas

· Marca online

· MP3-DivX-Fotos GRATIS!!!

· la WEB de los chistes

· el diario AS en internet

· El Mundo del siglo XXI

· Mariah CareY fans

· Eminem

· In-fraganti

· Azafata

 

 

También genera una copia en el escritorio como C.EXE.

La siguiente clave la añade con el fin de almacenar ciertos datos (p.e. dirección de e-mail del último destinatario):

HKEY_LOCAL_MACHINE\SOFTWARE\XRF Solutions

Detección y eliminación
El gusano se controla desde los DAT arriba indicados (4267) o mediante fichero EXTRA.DAT. Para detener el proceso en memoria del gusano, y eliminar ficheros y claves de registro creadas, pueden ejecutar nuestra utilidad ELIDUKSL, y posteriormente ejecutar para Windows 95,98 ó Me LIMPIA y para Windows NT, 2000 ó XP LIMPIANT

SATINFO, VIRUSCAN SPAIN SERVICE 23 de Mayo de 2003

Anterior