Spiag

SPIAG gusano de Correo MultiSPAM descarga archivos se conecta a galería de videos porno en Italia, etc.

W32/Spiag@mm

Spiag es un gusano reportado el 30 de Octubre del 2006, de propagación masiva a través de mensajes de Correo con Asunto Contenido y archivo Anexado definido en idioma italiano. Descarga copias de sí mismo de un portal de encuentro de parejas y se conecta a una galería de videos porno ubicada en Italia.

No tiene efectos nocivos, pero por sus características de MultiSPAM, a causa de su envío veloz y masivo de mensajes congestiona el tráfico de Internet entre las zonas geográficas de mayor propagación.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ Assembler con una extensión de 60KB y comprimido con y comprimido PE-Crypter.

A través de su propio SMTP (Simple Mail Transfer Protocol) se auto-envía a las direcciones de correo contenidas en la Libreta de Direcciones de Windows (WAB).

Los mensajes tienen las siguientes características:

Remitente: emplea la técnica Spoofing, para disfrazar las verdaderas direcciones de los Remitentes.

Asunto: In Spiaggia

Contenido: Bacini! Ti mando le foto che mi hai fatto questa estate. Una ・meglio che la cancelli :)

Anexado: spiaggiafoto.zip

Al activarse se auto-copia a las siguientes rutas y con los nombres:

%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Eros Club - Foto Video Calendari Bellissime.lnk
%UserProfile%\Start Menu\Program\Eros Club - Foto Video Calendari Bellissime.lnk
%UserProfile%\Desktop\Eros Club - Foto Video Calendari Bellissime.lnk
%Windir%\$hf_mig$\KB090545\semail.exe
%Windir%\$hf_mig$\KB090545\semail.tpl
%Windir%\$hf_mig$\KB090545\target.dat
%System%\Winsystemq\Videofree2.EXE

Para activarse la próxima vez que se re-inicie el sistema y crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winsystem" = "%System%\Winsystemq\Videofree2.EXE"

Crea además la siguientes sub-llaves:

HKEY_CURRENT_USER\Software\Freeware\{491A5872-C30F-4E54-8FF1-BF31CC73DC4B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{491A5872-C30F-4E54-8FF1-BF31CC73DC4B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4BDBAC10-4087-49CD-BB07-38943F4860CD}

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano intenta descargar copias de sí mismo, del portal www.adultfriendfinder.com ubicado en los Estados Unidos, con servidores espejo en el Reino Unido y otros países más.

Crea en el escritorio de Windows un icono con enlace a Eros Club - Foto Video Calendari Bellissime, que se conecta a:

http://www.tuttoperinternet.it/eros/galleria_immagini.htm

PER ANTIVIRUS® versiones 9.8 y 9.9 con registro de virus al 30 de Octubre del 2006 detectan y eliminan este gusano.