Efectos ArmyMovement.A realiza las siguientes acciones: - Sobrescribe con 0 todos los archivos con las siguientes extensiones que encuentre en la unidad C::
DOC
HTM
JPG
PPT
TIF
XLS
ZIP
De esta manera, el contenido de los archivos originales se perdería. - Envía un hoax con las siguientes características escrito en turco:
Asunto:
Tüm Askeri ve Sivil Personel Maaslarina Hükümetten % 50 Sok ZAM
La traducción del asunto es la siguiente:
Un 50% de incremento de salario por parte del gobierno a los militares y funcionarios
Mensaje:
Subay ve Astsubay Maaslarina Hükümetten % 50 Sok ZAM!!!!
Kim kaç lira ek zam alacak.Iste hesaplama oranlari. (Ek'teki dosyayi inceleyiniz)
(ZULFIKAR DOGAN, Ankara, Milliyet)
Milli Savunma Bakanligi'nin Türk Silahli Kuvvetleri (TSK) mensuplarinin maaslarinda yüzde 50
iyilestirme öngören kararnamesi dün gece kabul edildi.
Milli Savunma Bakanligi, hazirladigi "iyilestirme" kararnamesini hükümetin gündemine getirdi.
TBMM Genel Kurulu'nda önceki gece kabul edilen yetki yasasi ile TSK Personelinin mali,
idari ve sosyal haklarinda kanun hükmünde kararnamelerle (KHK) iyilestirme yapilmasi karara
baglandi. Cumhurbaskaninin bu konudaki yetki yasasini onaylamasinin ardindan, ilk planda
Subay ve Astsubaylarin maas ve sosyal haklarinda iyilestirmelere gidilecek.
Hükümetin lojman, kamu görevlilerinin ögrenim gören çocuklari için egitim yardimi, kira ve aile
ödeneklerinin iyilestirilmesi gibi konularda da ayrintili çalismalar baslattigi, ancak sosyal
haklardaki iyilestirmelerin daha uzun vadeli planlandigi ögrenildi.
Kim Ne kadar alacak? Ek'teki dokumanda bulabilirsiniz... - Envía este hoax a la lista de contactos de Outlook del usuario afectado.
- Está diseñado para modificar el mensaje que aparece cuando se inicia el ordenador por el siguiente:
Format All Disks
Este mensaje es falso, su único objetivo es alarmar al usuario. - Debido a las modificaciones que realiza, podría impedir que el ordenador afectado se reiniciara.
Metodo de Infección ArmyMovement.A crea los siguientes archivos: - REALTIMEMON.EXE, en el directorio de sistema de Windows. Este archivo es una copia del troyano.
- BOOT, en el directorio raíz de la unidad C:. Este archivo es una copia del archivo BOOT.INI modificado por ArmyMovement.A.
- TN, en el directorio raíz de la unidad C:, que es una copia del archivo NTLDR.
Además, sobrescribe los siguientes archivos del directorio raíz de la unidad C:: - BOOT.INI, añade la siguiente cadena para que se muestre el mensaje Fomat All Disks cuando se inicie el ordenador:
C:\boot.ini, [operating systems] "multi(1)disk(1)rdisk(1)partition(2)\SYSTEMS"
Value: "Format All Disks..." /fastdetect
y añade la siguiente línea para que el mensaje permanezca más tiempo en pantalla:
C:\boot.ini, [boot loader] "timeout"
Old value: 30
New value: 30000 - NTLDR. Este archivo lo sobrescribe con 0.
ArmyMovement.A busca en la unidad C: todos los archivos que tengan alguna de las siguientes extensiones y los sobrescribe con 0, manteniendo el tamaño del archivo original:
DOC, HTM, JPG, PPT, TIF, XLS y ZIP. ArmyMovement.A crea la siguiente entrada en el Registro de Windows: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
eTrust = %sysdir%\RealTimeMon.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, ArmyMovement.A consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación ArmyMovement.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc. Otros Detalles ArmyMovement.A está escrito en el lenguaje de programación Delphi v6. Este troyano tiene un tamaño de 291840 Bytes. |