I-Worm.Tanatos
Este virus de tipo gusano se difunde en Internet como adjunto en correos infectados. El virus en sí mismo es un ejecutable de Windows de unos 50 Kb de longitud (comprimido con UPX), escrito en Microsoft visual C++.
Los mensajes infectados pueden tener varios temas, cuerpos y nombres de archivo adjunto.
Por ejemplo como asuntos puede aparecer lo siguiente:
- $150 FREE Bonus! - its easy
- 25 merchants and rising - Just a reminder
- Announcement - Lost & Found
- bad news - Market Update Report
- CALL FOR INFORMATION! - Membership Confirmation
- click on this! - My eBay ads
- Confirmation of Recipes… - New bonus in your cash account
- Correction of errors - New Contests
- Daily Email Reminder - new reading
- empty account - Payment notices
- ENCUESTA.xls - Please Help...
- fantastic - Report
- free shipping! - SCAM alert!!!
- Get 8 FREE issues - no risk! - Sponsors needed
- Get a FREE gift! - Stats
- Greets! - Today Only
- hello! - Tools For Your Online Business
- history screen - update
- hmm.. - various
- I need help about script!!! - Warning!
- Interesting... - Your Gift
- Introduction - Your News Alert
Y como adjunto puede tener los siguientes nombres:
- readme - pics
- Setup - resume
- Card - photo
- Docs - video
- news - music
- image - song
- images - data
Para ejecutar el mensaje infectado el gusano utiliza un fallo de seguridad de Iframe que aparece en las versiones 5 y 5.5 de Internet Explorer y que no aparece en la versión 6.
Instalación:
Durante la instalacion, el gusano se copia a sí mismo en el directorio de sistema de Windows con un nombre aleatorio, introduciendo una entrada en la clave auto-run del registro de sistema:
- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
El nombre del archivo EXE del gusano depende del nombre del volumen C:, por ejemplo:
- FYOM.EXE - OQK.EXE
- YOK.EXE - QIY.EXE
- KOS.EXE
El gusano deposita también una DLL en el directorio de sistema de Windows con un nombre aleatorio y utiliza este archivo para espiar las entradas de teclado
También finaliza varios productos antivirus y cortafuegos que se estén ejecutando en el momento de la ejecución, desactivando las siguientes tareas:
- _avp32.exe - Iface.exe
- _avpcc.exe - Iomon98.exe
- _avpm.exe - Jedi.exe
- Ackwin32.exe - Lockdown2000.exe
- Anti-Trojan.exe - Lookout.exe
- Apvxdwin.exe - Luall.exe
- Autodown.exe - Moolive.exe
- Avconsol.exe - Mpftray.exe
- Ave32.exe - N32scanw.exe
- Avgctrl.exe - Navapw32.exe
- Avnt.exe - Navlu32.exe
- Avp.exe - avnt.exe
- Avp32.exe - Navw32.exe
- Avpcc.exe - Navwnt.exe
- Avpdos32.exe - Nisum.exe
- Avpm.exe - Nmain.exe
- Avptc32.exe - Normist.exe
- Avpupd.exe - Nupgrade.exe
- Avsched32.exe - Nvc95.exe
- Avwin95.exe - Outpost.exe
- Avwupd32.exe - Padmin.exe
- Blackd.exe - Pavcl.exe
- Blackice.exe - Pavsched.exe
- Cfiadmin.exe - Pavw.exe
- Cfiaudit.exe - Pccwin98.exe
- Cfinet.exe - Pcfwallicon.exe
- Cfinet32.exe - Persfw.exe
- Claw95.exe - Rav7.exe
- Claw95cf.exe - Rav7win.exe
- Cleaner.exe - Rescue.exe
- Cleaner3.exe - Safeweb.exe
- Dvp95.exe - Scan32.exe
- Dvp95_0.exe - Scan95.exe
- Ecengine.exe - Scanpm.exe
- Esafe.exe - Scrscan.exe
- Espwatch.exe - Serv95.exe
- F-Agnt95.exe - Smc.exe
- Findviru.exe - Sphinx.exe
- F-Prot.exe - Sweep95.exe
- Fprot.exe - Tbscan.exe
- F-Prot95.exe - Tca.exe
- Fp-Win.exe - Tds2-98.exe
- Frw.exe - Tds2-Nt.exe
- F-Stopw.exe - Vet95.exe
- Iamapp.exe - Vettray.exe
- Iamserv.exe - Vkserv.exe
- Ibmasn.exe - Vscan40.exe
- Ibmavsp.exe - Vsecomr.exe
- Icload95.exe - Vshwin32.exe
- Icload95.exe - Vsstat.exe
- Icloadnt.exe - Webscanx.exe
- Icmon.exe - Wfindv32.exe
- Icsupp95.exe - Zonealarm.exe
- Icsuppnt.exe
Desinfección:
Antes de proceder a las desinfección de la máquinas, estas deben ser desconectadas de la red local y luego proceder a su desinfección.
Descargue la utilidad para eliminar este virus pinchando aquí. Una vez ejecutada la utilidad deberá ejecutar el escáner del antivirus a la maquina eliminando cualquier resto del virus que encuentre.
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
