VSantivirus No. 346 - Año 5 - Martes 19 de junio de 2001
Nombre: W32/NewsFlood.A
Tipo: Caballo de Troya
Alias: Win32.Newsflood.7168.A, Troj/Newsflood
Tamaño: 7168 bytes
Fecha: 18/jun/01
Este troyano envía mensajes falsos ofreciendo pornografía infantil, en grupos de noticias. Comprimido con la utilidad UPX, requiere para funcionar que WinSock2 esté instalado. Esta versión de las librerías necesarias para la conexión a Internet de Windows, viene por defecto en Windows 98 y superiores. En Windows 95, debe ser instalada como una actualización. Si se intenta ejecutar en Windows 95 sin WinSock2, el troyano fallará con un mensaje de falta de DLLs.
Cuando el troyano es ejecutado, intentará conectarse a este servidor de news:
news.hispeed.ch
Luego de ello, enviará al azar mensajes ofreciendo pornografía infantil a alguno de los siguientes newsgroups:
alt.test
news.admin.net-abuse.usenet
alt.binaries.nospam.teenfem.nonude
alt.2600
alt.binaries.pictures.erotica.male
alt.religion.scientology
alt.comp.virus
alt.hackers.malicious
alt.religion.christian
alt.politics.bush
alt.binaries.pictures.asparagus
Puede seleccionar más de un grupo, y en ese caso el mensaje será enviado como "cross-posted", colocando los diferentes grupos separados por comas en el cabezal del mensaje. El troyano también utiliza el cabezal "X-No-Archive: Yes".
En el campo "From:" (De:) de estos mensajes, colocará un nombre seleccionado al azar seleccionando el primer nombre de esta lista:
Neil
Jack
Frank
Randy
Keith
Rick
Timothy
Mark
Charlie
Mike
Gordon
Joe
Habib
George
Albert
Herbert
Roosevelt
David
Carl
Nicholas
Peter
Shaniqua
Seleccionará como segundo nombre del remitente, alguno de esta lista:
Black
Rogers
White
Colt
Smith
Elm
Bell
Ash
Walton
Davis
Carter
Wilson
Andrews
Chung
Elliott
Harvey
Brown
Williams
Todd
Sawyer
Jones
Axelrod
La dirección de correo del campo "From:", será armada con una cadena
al azar, más la arroba (@), más un dominio seleccionado de esta lista:
scientology.org
elsitio.com
EnlargeYourPenisToday.Com
netexplora.com
google.com
my-deja.com
yahoo.com
hotmail.com
aol.com
fed.rr.com
mailman.lanl.gov
nuddie.com
baldpussy.org
hairless.net
fuck-a-preteen.com
postmans0.tripod.com
fenvhs.org
pteens.net
nohairboys.com
nohairgirls.com
preteen-paradise.net
buddingtittys.com
tenyearolds.net
allvirgins.com
little-virgins.com
El campo "Organization:" es seleccionado al azar de esta lista:
Martiza Internet Services
Disorganized
Amigo Org.
Wakkina Software
Executive Orifice of the President
The Christian Coalition
little or none at all
FBI-CIA-NSA-DOJ-MI5-AOL-TimeWarner, Inc.
Lbh unir gbb zhpu shpxvat serr gvzr
wHipcreme
Iggerbay Enispay
Cómo curiosidad, la entrada "Lbh unir gbb zhpu shpxvat serr gvzr" está encriptada en el formato ROT13, y en realidad significa:
You have too much fucking free time
La línea del asunto (Subject:), es también seleccionada al azar de la siguiente lista, donde el contenido hace referencia a pornografía infantil, aunque deliberadamente se han modificado algunas expresiones a los efectos de burlar los sistemas de filtrado. Por ejemplo, palabras como "preteen" han sido reemplazadas por "pteen", etc.:
12 - 13 yrs_old teen models UPDATED SITE
12yo ICQ girls
13 yo. webcam girls (1/1)
pteen chat grls (11-12yrs)
NEW URL 12 yr. old Michelle 1/1
10yrs. P-teen G1RLS? here:
Girls of 13-16
14 yo_webcam girls
15 yo. lolitas room
13 y/o ICQ girl
Cindy 15 yrs_old
A este texto se agrega alguna otra cadena al azar.
El troyano crea un archivo de registro llamado "STARorbita.txt" en el mismo directorio donde se ejecutó.
No intenta ocultarse de la lista de tareas en ejecución (al pulsar CTRL+ALT+SUPR), aunque su nombre en esta lista (aparece como
"Startmenu"), puede engañar a quien lo busque allí.
El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.
Para eliminarlo, ejecute un antivirus al día, y borre el archivo identificado como
Win32.Newsflood, Troj/Newsflood, W32/Newsflood o similar.
Fuente: Computer Associates
(c) Video Soft - http://www.videosoft.net.uy
|