|
BARTEN gusano de correo y MSN Messenger usa la técnica Spoofing
descarga un archivo malware de Korea.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Barten@mm
Barten
un gusano reportado el 07 de Febrero del 2008 propagado a través de mensajes de Correo con
la técnica
Spoofing, con
un Asunto y un Contenido que tiene un enlace de descarga hacia
una dirección URL en Korea, con un archivo infectado.
Se propaga también en mensajes con el
mismo enlace a toda la Libreta de Contactos del Microsoft
Messenger.
Es un PE
(Portable
Ejecutable) e infecta Windows
98/NT/Me/2000/XP
y Server
2003, está desarrollado y compilado en Visual
C++, con una extensión de 52KB y comprimido con el utilitario UPX
(Ultimate Packer for eXecutables):
http://upx.sourceforge.net
El mensaje tiene las siguientes
características:
Remitente: las
extraídas del sistema o con la técnica Spoofing.
Asunto: Menina sofre abuso no pará
Contenido:
Você j
deve ter ficado sabendo do caso da menor de idade que
foi mantida presa junto com presos,
do sexo masculino na cidade de
, no estado do pará.... a menor
foi violentada e obrigada a fazer sexo
com os presos em troca de
comida.
Como se já não
bastasse, os proprios presos fizeram um video com um celular ...
assista o video.
O video fala por si mesmo.
Clique aqui para visualizar o video. |
Al final del mensaje se muestre este enlace:
http://www.interim.co.kr/bbs/data/__zbSessionTMP/video[Removido]
Al ingresar a un sistema el gusano se copia a la carpeta %System%
con el nombre de rmsx.exe y para ejecutares
la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MicrosoftUpdate" = "%USERPROFILE%\rmsm.exe"
Al siguiente inicio del equipo el
gusano establece contacto con las siguientes direcciones de correo a través
del SMTP:
- vac78768@terra.com.br
- vac78768w@terra.com.br
- vac78768f@terra.com.br
- junrr678fb@terra.com.br
- junrr678ma@terra.com.br
- junrr678@terra.com.br
- bernitito343@terra.com.br
- bernitito343fb@terra.com.br
- bernitito343ma@terra.com.br
- marimarr4232@terra.com.br
- marimarr4232fb@terra.com.br
- marimarr4232ma@terra.com.br
- genufill32323@terra.com.br
- genufill32323fb@terra.com.br
- genufill32323ma@terra.com.br
- herdted8667@terra.com.br
- herdted8667fb@terra.com.br
- herdted8667ma@terra.com.br
- junrr621@terra.com.br
- junrr621fb@terra.com.br
- junrr621ma@terra.com.br
- felizbiz45667@terra.com.br
- felizbiz45667fb@terra.com.br
- felizbiz45667ma@terra.com.br
- candelala23@terra.com.br
- candelala23fb@terra.com.br
- candelala23ma@terra.com.br
- barlotado@terra.com.br
- barlotadofb@terra.com.br
- barlotadoma@terra.com.br
- barata100@terra.com.br
- barata50@terra.com.br
- barara51@terra.com.br
- barata52@terra.com.br
- barata53@terra.com.br
- barata101@terra.com.br
- barata54@terra.com.br
- barata55@terra.com.br
- barata56@terra.com.br
- barata57@terra.com.br
- barata102@terra.com.br
- barata58@terra.com.br
- barata59@terra.com.br
- barata60@terra.com.br
- barata61@terra.com.br
- barata103@terra.com.br
- barata62@terra.com.br
- barata63@terra.com.br
- barata64@terra.com.br
- barata65@terra.com.br
- barata110@terra.com.br
- barata66@terra.com.br
- barata67@terra.com.br
- barata68@terra.com.br
- barata70@terra.com.br
- barata111@terra.com.br
- barata71@terra.com.br
- barata72@terra.com.br
- barata73@terra.com.br
- barata74@terra.com.br
- barata112@terra.com.br
- barata76@terra.com.br
- barata78@terra.com.br
- barata79@terra.com.br
- barata80@terra.com.br
- barata113@terra.com.br
- barata81@terra.com.br
- barata83@terra.com.br
- barata84@terra.com.br
- barata85@terra.com.br
Luego envía una variación de los siguientes textos a todos al
direcciones de la libreta de contactos del Microsoft
Messenger:
- menina do par na cadeia com homens..
- muita brutalidade infantil..
- o pais brinca de justi
- a infantil no brasil
- o video esta nas ruas.
- ela estava transando com homens detentos em uma cela em Abaetetuba,!
- ela com vinte homens em uma cela!& veja so as loucuras la dentro da cela.
- ela ficou presa durante 24 dias.
- "Isso dif cil a gente saber.
- por comida ela transava na delegacia"
- ela esta sobre prote
- ao da justi
- ela j
- havia sido presa outras menina presa no par
- ...
- crian
Con el mismo enlace del mensaje de
correo.
Al parecer el virus ha sido desarrollado en
Brasil pero su sitio de descarga del malware está en un dominio de Korea.
PER ANTIVIRUS®
versión X4 con registro de virus al 07 de Febrero del
2008 detecta y elimina este gusano.
