Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
El principal objetivo de MSNWorm.IE es propagarse a través de programas de mensajería instantánea para conseguir afectar al mayor número de ordenadores posible.
Además, realiza las siguientes acciones:
- Intenta conectarse a la siguiente página web para descargar actualizaciones de sí mismo o para enviar información del ordenador:
teamiosys.com - Se agrega a la lista de aplicaciones autorizadas por el cortafuegos para evitar ser bloqueado.
Metodo de Infección
MSNWorm.IE crea los siguientes archivos:
- MSNMLS.EXE, en el directorio de Windows. Este archivo es una copia del gusano.
- A.TXT, en el directorio raíz de la unidad C:.
MSNWorm.IE crea las siguientes entradas en el Registro de Windows para conseguir añadirse a la lista de aplicaciones autorizadas por el cortafuegos:
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
%ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr = %ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr:*:Enabled:Userinit - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
%ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr = %ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr:*:Enabled:Userinit
MSNWorm.IE modifica la siguiente entrada del Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\userinit.exe,
donde %sysdir% es el directorio de sistema de Windows.
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\userinit.exe,%windir%\msnmls.exe
donde %windir% es el directorio de Windows.
Mediante esta modificación, MSNWorm.IE consigue ejecutarse cada vez que Windows se inicia.
Además, modifica las siguientes entradas del Registro de Windows relacionadas con el servicio del cortafuegos de Windows, para poder acceder a Internet sin ser bloqueado:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch
Epoch - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
Epoch
Método de Propagación
MSNWorm.IE se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:
- Envía un mensaje instantáneo en el que se incita al usuario a ver una fotografía. Este mensaje contiene un enlace que parece apuntar a una imagen de Facebook, como se puede ver en la siguiente imagen:
- Además, utiliza mensajes en diferentes idiomas en función del idioma del sistema operativo del ordenador afectado.
- Los siguientes son algunos ejemplos de la variedad de lenguajes que puede llegar a utilizar. Estos mensajes van acompañados de un enlace a una página web maliciosa:
Español: mira esta fotografia :D
Inglés: seen this?? :D
look at this picture :D
Portugués: olhar para esta foto :D
Francés: regardez cette photo :D
Alemán: schau mal das foto an :D
Italiano: guardare quest'immagine :D
Holandés: bekijk deze foto :D
Sueco: titta ps min bild :D
Danés: ser ps dette billede :D
Noruego: se ps dette bildet :D
Finés: katso tStS kuvaa :D
Esloveno: poglej to fotografijo :D
Eslovaco: pozrite sa na tto fotografiu :D
Checo: podfvejte se na mou fotku :D
Polaco: spojrzec na to zdjecie :D
Rumano: uita-te la aceasta fotografie :D
Húngaro: nTzd meg a kTpet :D
Turco: bu resmi bakmak :D - Si el usuario accede al enlace, una copia del gusano se descargará en el ordenador afectado.
- Después, envía un mensaje instantáneo similar a todos los usuarios que estén conectados en ese momento.
Otros Detalles
MSNWorm.IE tiene un tamaño de 126976 Bytes.