Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Spamta.CY abre el Bloc de Notas para mostrar el siguiente texto cuando es ejecutado:
Metodo de Infección
Spamta.CY crea los siguientes archivos:
- T2SERV.EXE en el directorio de Windows. Este archivo es una copia del gusano.
- T2SERV.DLL y T2SERV.WAX en el directorio de Windows.
- E1.DLL, GDI3FDE.DLL, HPLUTOOL.EXE y RDPDVCKN.DLL en el directorio de sistema de Windows.
Spamta.CY crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
tsrv = %windir%\ t2serv.exe s
donde %windir% es el directorio de Windows.
Mediante esta entrada, Spamta.CY consigue ejecutarse siempre que Windows se inicia. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
AppInit_DLLs = gdi3fde.dll e1.dll
Mediante esta entrada, Spamta.CY hace que los archivos DLL (Librería de Enlace Dinámico) indicados en ella (GDI3FDE.DLL y E1.DLL) sean cargados por cada aplicación Windows que sea ejecutada en la sesión actual.
Método de Propagación
Spamta.CY se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo electrónico con las siguientes características:
Asunto: alguno de los siguientes:
Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test
Contenido: puede estar vacío o ser uno de los siguientes:
Mensaje 1
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
Mensaje 2
Mail transaction failed. Partial message is available.
Archivo adjunto: uno de los siguientes, entre otros:
BODY.ZIP
DOC.DAT.EXE
README.ZIP
TEST.ELM.EXE
UPDATE-KBNNNN-XNN.EXE, donde N representa un número aleatorio.
UPDATE-KBNNNN-XNN.ZIP - El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
- Spamta.CY busca direcciones de correo electrónico en archivos con ciertas extensiones.
- Spamta.CY envía una copia de sí mismo a todas las direcciones que ha recogido.
Otros Detalles
Spamta.CY está escrito en lenguaje de programación Visual C++ v7. Este gusano tiene un tamaño de 116490 Bytes, y está comprimido mediante UPack.