Ainjo.E, de nuevo otro gusano que afecta a redes Kazaa, correo electrónico y también IRC
Julio 28, 03 by adminAinjo.E es un gusano de alta propagación masiva a través de un mensaje de correo con Asuntos, Contenidos y archivos Anexados aleatorios de extensión .ZIP. También se difunde vÃa la red Peer to Peer Kazaa y el IRC (Internet Chat Relay).
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual Basic 6.0, con 549 KB de extensión.
Haciendo uso de las funciones de las librerÃas MAPI (Messaging Application Programming Interface) se auto-envÃa a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.
El mensaje tienen las siguientes caracterÃsticas:
Asunto, uno de los siguientes:
· Re: Web Site Report
· Thank You!
· Free MP3, OGG/VORBIS Hit Songs !!
· Download DVD Movie Now !! Its Free..!
· You are Losing Income
Contenido, uno de los siguientes:
· The Mastercard Stored Value Card is good anywhere in the world that Mastercard is accepted! APPLY NOW AND GET $20 FREE!! Download it Now And Get free Bonus!
· Have I peaked your curiosity?
This is something that I think that anyone who is serious about marketing and being on the internet should check out. Save it Now !
· ATTENTION: THIS PROGRAM IS EXPLODING WORLDWIDE. THOUSANDS OF PEOPLE ARE SIGNING UP EVERY DAY CREATING ONE OF THE LARGEST MEMBERSHIP BASES IN THE WORLD!
· Hello!
Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?
Download the attachment now !
Anexado, elegido de alguno de los siguientes archivos:
· SaveNow.zip
· Report.zip
· FFA.zip
· FreeJoin.zip
Al hacer click en el archivo infectado el gusano muestra en pantalla un falso mensaje de error y se auto-copia al directorio %Windir% con los siguientes nombres:
· Kernelw32.exe
· Blank.scr
[ . . . ]
Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Al conectarse el usuario a un sesión del Chat, el gusano enviará una copia infectada de sà mismo con el nombre FREEPIC.ZIP.
Finalmente, al acceder el usuario a Internet, el navegador será direccionado al portal del autor:
Los payloads de este gusano son:
- Se propaga masivamente en mensajes de correo, con diversos Asuntos, Contenidos y archivos Anexados, a los buzones de correo de MS Outlook, haciendo uso de las librerÃa MAPI.
- Infecta a través de la red Kazaa.
- Si el sistema infectado tiene el software mIRC, se difundirá a través de cualquier sesión de Chat.
- Su autor es Iwing, el webmaster de un portal de virus de Indonesia.
- Al conectarse el usuario a Internet, será direccionado al portal del autor del gusano.
- Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.
Esta información ha sido encontrada en: http://www.perantivirus.com/sosvirus/virufamo/ainjoe.htm
