Active Scan. Analiza Gratis tu PC
Download Cloud Antivirus Gratis

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

MSNWorm.IE

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

El principal objetivo de MSNWorm.IE es propagarse a través de programas de mensajería instantánea para conseguir afectar al mayor número de ordenadores posible.

Además, realiza las siguientes acciones:

  • Intenta conectarse a la siguiente página web para descargar actualizaciones de sí mismo o para enviar información del ordenador:
    teamiosys.com
  • Se agrega a la lista de aplicaciones autorizadas por el cortafuegos para evitar ser bloqueado.

 

Metodo de Infección 

MSNWorm.IE crea los siguientes archivos:

  • MSNMLS.EXE, en el directorio de Windows. Este archivo es una copia del gusano.
  • A.TXT, en el directorio raíz de la unidad C:.

 

MSNWorm.IE crea las siguientes entradas en el Registro de Windows para conseguir añadirse a la lista de aplicaciones autorizadas por el cortafuegos:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
    %ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr = %ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr:*:Enabled:Userinit
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
    %ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr = %ruta en la que ha sido ejecutado el archivo original%\photo180410-jpg-www-facebook-com.scr_.scr:*:Enabled:Userinit

 

MSNWorm.IE modifica la siguiente entrada del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Userinit = %sysdir%\userinit.exe,

    donde %sysdir% es el directorio de sistema de Windows.
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Userinit = %sysdir%\userinit.exe,%windir%\msnmls.exe

    donde %windir% es el directorio de Windows.
    Mediante esta modificación, MSNWorm.IE consigue ejecutarse cada vez que Windows se inicia.

Además, modifica las siguientes entradas del Registro de Windows relacionadas con el servicio del cortafuegos de Windows, para poder acceder a Internet sin ser bloqueado:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch
    Epoch
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
    Epoch

Método de Propagación 

MSNWorm.IE se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:

  • Envía un mensaje instantáneo en el que se incita al usuario a ver una fotografía. Este mensaje contiene un enlace que parece apuntar a una imagen de Facebook, como se puede ver en la siguiente imagen:

    Mensaje instantáneo enviado por MSNWorm.IE
  • Además, utiliza mensajes en diferentes idiomas en función del idioma del sistema operativo del ordenador afectado.
  • Los siguientes son algunos ejemplos de la variedad de lenguajes que puede llegar a utilizar. Estos mensajes van acompañados de un enlace a una página web maliciosa:
    Español: mira esta fotografia :D
    Inglés: seen this?? :D
               look at this picture :D
    Portugués: olhar para esta foto :D
    Francés: regardez cette photo :D
    Alemán: schau mal das foto an :D
    Italiano: guardare quest'immagine :D
    Holandés: bekijk deze foto :D
    Sueco: titta ps min bild :D
    Danés: ser ps dette billede :D
    Noruego: se ps dette bildet :D
    Finés: katso tStS kuvaa :D
    Esloveno: poglej to fotografijo :D
    Eslovaco: pozrite sa na tto fotografiu :D
    Checo: podfvejte se na mou fotku :D
    Polaco: spojrzec na to zdjecie :D
    Rumano: uita-te la aceasta fotografie :D
    Húngaro: nTzd meg a kTpet :D
    Turco: bu resmi bakmak :D
  • Si el usuario accede al enlace, una copia del gusano se descargará en el ordenador afectado.
  • Después, envía un mensaje instantáneo similar a todos los usuarios que estén conectados en ese momento.

Otros Detalles  

MSNWorm.IE tiene un tamaño de 126976 Bytes.