| |
VSantivirus No. 1148 Año 7, Viernes 29 de agosto de 2003
W32/Lovsan.E (Blaster). Utiliza "mslaugh.exe"
http://www.vsantivirus.com/lovsan-e.htm
Nombre: W32/Lovsan.E (Blaster)
Tipo: Gusano de Internet
Alias: WORM_MSBLAST.E, W32/Lovsan.worm.e, Worm.Win32.Lovesan, W32/Msblast.E, W32/Blaster-E, W32/Lovsan.worm.e, Win32.Poza.E, Win32/Lovsan.E, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm
Fecha: 28/ago/03
Plataforma: Windows 2000, XP, NT
Reportado por: varios
Tamaño: 6,176 bytes (UPX)
Esta variante es idéntica a la versión A, salvo en los siguientes puntos:
1. El nombre del ejecutable:
mslaugh.exe
2. La entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Automation = mslaugh.exe
3. Está comprimido con la herramienta UPX.
4. Contiene el siguiente texto en su código:
I dedicate this particular strain to me ANG3L -
hope yer enj oying yerself and dont forget the
promise for me B/DAY !!!!
5. El ataque DDoS (que en las versiones anteriores era al sitio de actualizaciones de Microsoft), ha sido cambiado a "kimble.org", sitio que actualmente apunta a la dirección IP 127.0.0.1 (localhost), con la intención de que las computadoras infectadas se ataquen a si mismas.
6. Utiliza un mutex (semáforo indicador), llamado SILLY.
Los demás detalles del gusano son idénticos a la versión A, y se dan en el siguiente enlace (incluidas las instrucciones para eliminarlo manualmente):
Más información:
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
