[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [escepticos] posible virus

To: escepticos en dis.ulpgc.es
Subject: Re: [escepticos] posible virus
From: oswaldo <oswaldo@...>
Date: Tue, 23 Dec 2003 19:40:55 +0100
Delivered-to: escepticos en dis.ulpgc.es
In-reply-to: <200312231849.38130.idd01hrp en wanadooadsl.net>
References: <200312231849.38130.idd01hrp en wanadooadsl.net>
Reply-to: escepticos en dis.ulpgc.es
Sender: owner-escepticos en dis.ulpgc.es
User-agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)

es un gusano, no se te ocurra ejecutar el archivo:


W32/Mimail.K. Se propaga con el adjunto "READNOW.ZIP"
http://www.vsantivirus.com/mimail-k.htm

Nombre: W32/Mimail.K
Tipo: Gusano de Internet
Alias: Mimail.K, W32/Mimail-K, WORM_MIMAIL.K
Plataforma: Windows 32-bit
Tamaños: 10,784 bytes
Fecha: 21/nov/03

    * Sugerencias para administradores (bloqueo antispam)

Variante del Mimail similar al W32/Mimail.H y W32/Mimail.C que se propaga muy rápidamente.

Se recibe en un mensaje marcado como de alta prioridad y con estas características:

    De: john en [dominio del destinatario]
    Para: [dirección del destinatario]
    Asunto: don't be late!                       [xxxxxxxx]
    Datos adjuntos: readnow.zip

    Texto:

    Will meet tonight as we agreed, because on Wednesday
    I don't think I'll make it,

    so don't be late. And yes, by the way here is the file
    you asked for. It's all written there. See you.

    [xxxxxxxx]

Donde [xxxxxxxx] son caracteres al azar, por ejemplo:

    ksdkkdhi

El adjunto (READNOW.ZIP) debe ser abierto por el usuario. Cuando lo hace aparece el siguiente ejecutable con doble extensión:

    readnow.doc.scr

La segunda extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos").

Si se hace doble clic sobre él, se ejecuta el archivo y se produce la infección.

Se trata de un .EXE comprimido con la herramienta UPX.

Cuando se ejecuta, copia los siguientes archivos en el directorio de Windows:

    c:\windows\sysload32.exe
    c:\windows\eml.tmp
    c:\windows\exe.tmp
    c:\windows\zip.tmp

Donde SYSLOAD32.EXE es el gusano, y EML.TMP es la lista de direcciones electrónicas encontradas en la máquina infectada. EXE.TMP es el gusano en el archivo HTML y ZIP.TMP es el archivo ZIP conteniendo el gusano (utiliza el método de almacenamiento sin compresión).


Salud,

Marmi

|pepet| wrote:

Casi todos los días recibo un mensaje de un tal "john en eresmas.net" con el asunto "don't be late! iiciaqaiq" y el mensaje:"> Will meet tonight as we agreed, because on Wednesday I don't think I'll
make it,
so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you." que trae como adjunto (que no os envío por
si acaso) un archivo readnow.zip sin comprimir de 10784 B una vez descomprimido se transforma en "readnow.doc.src" ¿lo ha recibido alguien? saludos pepet
ps: Otro día que esté más inspirado os pondré postdata.
resaludos pepet

References:
- [escepticos] posible virus
  - From: |pepet| <idd01hrp@...>

Prev by Date: [escepticos] posible virus
Next by Date: [escepticos] Laicismo en la escuela
Previous by thread: [escepticos] posible virus
Next by thread: RV: [escepticos] Laicismo en la escuela
Index(es):
- Date
- Thread