Sndog

SNDOG gusano de Correo con asuntos y contenidos en español se propaga por la mayoría de redes P2P.

W32/Sndog@mm, I.worm.Sndog@mm

Sndog es un gusano reportado el 22 de Septiembre del 2004, que se propaga a través mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios y vía la mayoría de redes Peer to Peer.

Cambia la página de Inicio de Internet Explorer y aunque no tiene efectos nocivos se distribuye masivamente en paises de habla hispana.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 programado como Visual Basic Script con extensión variable.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).

Los mensajes tienen estas características:

Asunto, uno de los siguientes:

Fw: Romeo y Julieta
Fw: Huevo cartoon
Fw: El mono mario
Fw: la felicidad
Fw: La academia
Fw: Big brother Vip 3
Te adoro
Fw: que tanto quieres a tu amigo
Fw: Test de tenga a tu novio (a)?
Fw: tips para tirar choros a las chavas
Fw: Como saber si tienes un admirador secreto
Aviso Importante
Fw: Snoopy
Fw: ana_patricia@hotmail.com
Fw: nuevo programa para bajar musica
Fw: Antagonistas

Contenido: los textos son una combinación aleatoria de los asuntos.

Anexados, uno de los siguientes:

Ave.exe
Broma.exe
Corsa.exe
Doors.exe
HuevoHussein.exe
Huevomaniaco.exe
liame.vbs
Pkzip.exe
Program.exe
Proyecto.exe
Setup1.exe
Unzip.exe

Al ser activado se copia al directorio %Windir% como csrss.exe con el atributo de "oculto".

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Se copia a sí mismo en la carpeta %Temp% con uno de los archivos anexados.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

También se copia a la unidad A:\ como:

ac&dc.exe
archivos.exe
Files.exe
media.exe
mono mario.exe
presentacion.exe
source.exe

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Shockwave" = "%Windir%\csrss.exe"

Revisa todas las unidades de disco buscando los archivos con extensión .ZIP y en caso de que el sistema tenga instalado el WinZip, el gusano agregará los archivos ejecutables a los empaquetados con formato ZIP.

Para infectar a través de las redes P2P rastrea los servicios de las siguientes aplicaciones:

EDonkey
P2P Edonkey
Kazaa
Morpheus
iMesh
BearShare
Grokster
Edonkey2000

En caso de encontrar uno o más de estos servicios, el gusano se copiará a las correspondientes carpetas de sus archivos compartidos como:

Crack de winzip 9.exe
Neoragex parche para Kof2003.exe
Windows Xp Home serial number.exe
WinXp Home KeyGenerator.exe
Windows Xp Profesional serial number.exe
WinXp Profesional Serials.exe
Office Xp crack.exe
Keygenerator Office Xp.exe
Emurayden Xp.exe
Setup.exe
Half life Keygenerator.exe
HLKeygenerator.exe
Half life opossing force crack.exe
Opossing crack.exe
Visual Basic keygenerator.exe
Keygenerator.exe
Delphi all versions keygen.exe
Norton Antivirus 2004 keygen.exe
NAV Keygenerator.exe
Panda Antivirus Titanium Keygenrator for all versions.exe
PAT Keygen.exe
Mcafee Antivirus Scan Crack.exe
McAfee Scan keygen.exe
MSN Poligammy for 6.x.exe
Poligammy for MSN 6.x.exe
Messenger Plus.exe
MSN Plus.exe
Kazaa lite 2_3_5.exe
Kazaa lite.exe
Kazaa lite 3_1_0.exe
Kazaa lite ++.exe
Musicmatch 9.x crack.exe
Crack MusicMatch Jukebox 9.exe

El gusano cambia la página de Inicio de Internet Explorer re-direccionándola a un sitio web en español, que ya ha sido desactivado.

Los payloads de este gusano son los siguientes:

Se propaga a través de mensajes de correo con asuntos, contenidos y archivos aleatorios, la mayoría en español.
Haciendo uso de las librería MAPI se auto-envía a los contactos de la Libreta de Direcciones de MS Outlook y Outlook Express y al Windows Address Book.
Infecta además vía la mayoría de redes de archivos compartidos Peer to Peer.
Cambia la página de inicio del Internet Explorer.

PER ANTIVIRUS® versiones 8.8 y 8.9 con registro de virus al 22 de Septiembre del 2004 detectan y eliminan eficientemente este gusano.