PC OKEY - Alerta
Acceso a la Comunidad PC Okey
Google 
Av. La Paz 356 - Oficina 202 - Miraflores - Lima 18 - Peru
Inicio avast! Antivirus NOD32 Antivirus Empresa Test antivirus
Ventas y Soporte  242-5751  446-5567   soporte@pcokey.com     ventas@pcokey.com 
Worm/Somali

Nombre: Worm/Somali
Tipo: Worm
Fecha: 14/NOV/2006

Gusano y caballo de Troya que ataca a dispositivos Windows con .NET Framework instalado, incluye dispositivos con Windows Mobile como ordenadores de bolsillo (Pocket PC), PDAs, teléfonos móviles (Smart Phone).

Finaliza la ejecución de varios programas, la mayoría de ellos relacionados con herramientas de seguridad, como antivirus y firewall.

Impide la conexión a sitios de Internet relacionados con las actualizaciones de productos de seguridad informática.

Cuando el Worm/Somali es ejecutado por primera vez puede mostrar un mensaje de error con el siguiente texto:

System Error
Can Not Open File
[ OK ]
Las siguientes veces puede mostrar un mensaje de error como el siguiente:

Windows
Not a valid win32 program
[ OK ]
Se copia a las siguientes carpetas:

%directorio actual%\Project-setup.exe
%SystemDrive%\project.pif
%System%\ctfmon32.exe

Nota:
%SystemDrive% por defecto es C:.
%System% por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Realiza las siguientes modificaciones en el registro de Windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Services32.bak = "%System%\ctfmon32.exe"

HKCU\MadSoli
MadSoli = "System"

HKLM\System\CurrentControlSet\Services\lanmanserver\Shares
MadSoli = [múltiples valores]

Borraría la configuración de las impresoras instaladas, eliminando la siguiente llave de registro:
HKCU\Printers
Puede crear el siguiente usuario:

Nombre de usuario: NewAdmin
Contraseña: MadSoli
Comentario: Windows pc

Cierra los procesos que contengan alguna de las siguientes cadenas de texto:

AVGSERV
AVGSERV9
Clshield
DAP
GhostTray
mghtml
NAVW32
notepad
NTPROTECTED
regedit
scan32
SCAN95
taskmgr

Modifica el archivo "Host" para impedir el acceso a las siguientes direcciones de Internet:

avg.com
download.mcafee.com
google.com
mcafee.com
pandasoftware.com
symantec.com
trendmicro.com
update.symantec.com
www.24-7-transportation.com
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.AmirCivil.com
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.avg.com
www.aviation-center.de
www.bbc.com
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.chinasenfa.com
www.DarrkSydebaby.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.download.mcafee.com
www.dragcar.com
www.ecofotos.com.br
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.FritoPie.NET
www.google.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.pandasoftware.com
www.symantec.com
www.trendmicro.com
www.update.symantec.com
www.viruslist.com
www.yahoo.com

Nota: El archivo 'Host' se encuentra en %System%\drivers\etc\

Este gusano propaga a través de correo electrónico y por recursos compartidos.

Se envía masivamente como archivo adjunto en correos electrónicos, a las direcciones de Yahoo de al PC afectada, con, las siguientes características:

Remitente: Alguno de los siguientes:

antiblaster@yahoo.com
avg@yahoo.com
bill@yahoo.com
bob@yahoo.com
ebook@yahoo.com
info@yahoo.com
iraq@yahoo.com
LongShot@yahoo.com
matt@yahoo.com
mcafee@yahoo.com
nod32@yahoo.com
panda@yahoo.com
smith@yahoo.com
stan@yahoo.com
steve@yahoo.com
symantec@yahoo.com
update@yahoo.com
YourFriend@yahoo.com

Asunto: Alguno de los mostrados a continuación:
Announcement
ANTI VIRUS
Attention
E-mail account disabling warning
FBI
IranSare2008
mcafee
NOD32
password
Read it immediately
Soccer funs in public place
symantec
Text Message
Yahoo!
Your IP was logged

El adjunto es variable

Cuerpo del mensaje: Alguno de los mostrados a continuación:

Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experiences and confirm the attach document so you will not run into any future problems with the online service.

It has come to our attention that your (File!) User Profile ( x )records are out of date. For further details see the attached document. Tank you for using !

Thank you for using file

+++ Attachment: No Virus (Clean)

+++[mcafee] Antivirus - www.mcafee.com

Deliver Error

Message Error

help attached

such as yours

illegal st. of you

I have your password!

classroom test of you?

old photos about you?

Propagación a través de recursos compartidos en red

Crea una carpeta compartida en la que guarda una copia del gusano, si un usuario ejecuta este fichero malicioso, quedará infectado por este gusano.

Crea, en la máquina infectada, la siguiente carpeta compartida:
%SystemDrive%\System33

Nota:
%SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado. Por defecto es C:.

Se copia a sí mismo como 'Sound.exe' en la carpeta compartida creada anteriormente.

El nombre que tendrá este recurso compartido en la red, es el de 'MadSoli'

El día 19 de cada mes, puede mostrar un mensaje con el siguiente texto:

MadSoli
IIntered Your Mind!
[ OK ]

Fuente:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6417.


Copia de evaluación hasta por 30 días.
Copia de evaluación para organizaciones o personas que lo utilicen en negocios.
Lista de AYUDA de
PC OKEY
 
NOD32 peru
distribuidor de NOD32 en peru
tienda NOD32
comprar NOD32
venta de NOD32
NOD32 corporativo
avast peru
distribuidor de avast en peru
tienda avast
comprar avast
venta de avast
avast corporativo
antivirus
virus
eliminacion de virus
antivirus gratis
antivirus free
download antivirus
antivirus peru
recuperacion de data
disco dañado
recuperacion de archivos
recuperacion de passwords o contraseñas
seguridad informatica



Copyright © 2006 PC OKEY S.A.C. Todos los derechos reservados.

NOD32 es marca registrada de ESET, avast! es marca registrada de ALWIL Software. Microsoft y Windows son marcas registradas de Microsoft Corporation. Todas las otras marcas y productos son marcas registradas de sus respectivos propietarios.