Conectarse
Clock
Mejores posteadores
HarryKnight | ||||
koko | ||||
Elkenost | ||||
skrash | ||||
gonzalo | ||||
emanuel.flores | ||||
pollito | ||||
torresdiaz1 | ||||
neru2008 | ||||
electghost |
VIRUS: WIN32/THONIC.A
3 participantes
Página 1 de 1.
VIRUS: WIN32/THONIC.A
VIRUS: WIN32/THONIC.A
descripción
nombre: Win32/Thonic.A
aliases: Thonic, I-Worm.Thonic.a, I-Worm/Thonic.A, PE_THONIC.B, VBS_THONIC.B, W32.Thonic@mm, W32/Thonic.6144.A, W32/Thonic.a@MM, WIN.EXE.Virus, Win32.FileInfector, Win32/Thonic.A, Worm.Thonic.A
tipo: Gusano de Internet
fecha: 06/12/2004
gravedad general:
Baja
distribución:
Media
daño:
Bajo
tamaño: 5,482 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Gusano que se propaga como un archivo adjunto en un mensaje de correo electrónico.
> CARACTERISTICAS
Asunto: Free MyDoom.B Patch !
Texto del mensaje:
Very urgent !
You should run this patch to protect your Windows OS
immediately to avoid this danger virus variant.
Thank You,
Microsoft Technical
Support Staff
Any rights not expressly granted herein are reserved.
Contact Microsoft with questions or problems.
(c) 2004 Microsoft Corporation. All right
Datos adjuntos: funnystuff.avi.exe
La infección se produce cuando el usuario hace doble clic sobre el adjunto. El ejecutable infecta la utilidad NOTEPAD.EXE y la copia en la siguiente ubicación:
c:\funnystuff.avi.exe
El gusano también es capaz de infectar otros archivos PE con las siguientes extensiones:
.exe
.cpl
.scr
Una vez en memoria, el gusano intercepta todas las llamadas a las siguientes APIs de Windows:
WinExec
MoveFile
SetCurrentDir
Cada vez que el gusano detecta una de las llamadas mencionadas, intenta infectar los archivos relacionados.
Se agrega a si mismo al final de los archivos que infecta. Por ello los archivos infectados pueden aumentar unos 8,192 bytes su tamaño.
También puede agregar otros 4,096 bytes más, conteniendo solo basura, a cada archivo infectado.
Crea una nueva sección en el archivo infectado, con el nombre de ".DCUbLmd", para no infectar de nuevo un archivo, busca dicho nombre en el cabezal y no lo infecta si la sección existe.
Para propagarse por correo electrónico libera y ejecuta un script VBS de 875 bytes en una de las siguientes ubicaciones:
c:\vqmsxjvyc.vbs
c:\windows\vqmsxjvyc.vbs
Cuando el script se ejecuta se envía a todos los contactos de la libreta de direcciones del programa, usando funnystuff.avi.exe como adjunto.
Su código contiene el siguiente texto:
Win32.Nameless Mist - AzagTH0TH
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y repare o elimine los archivos infectados.
4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
descripción
nombre: Win32/Thonic.A
aliases: Thonic, I-Worm.Thonic.a, I-Worm/Thonic.A, PE_THONIC.B, VBS_THONIC.B, W32.Thonic@mm, W32/Thonic.6144.A, W32/Thonic.a@MM, WIN.EXE.Virus, Win32.FileInfector, Win32/Thonic.A, Worm.Thonic.A
tipo: Gusano de Internet
fecha: 06/12/2004
gravedad general:
Baja
distribución:
Media
daño:
Bajo
tamaño: 5,482 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Gusano que se propaga como un archivo adjunto en un mensaje de correo electrónico.
> CARACTERISTICAS
Asunto: Free MyDoom.B Patch !
Texto del mensaje:
Very urgent !
You should run this patch to protect your Windows OS
immediately to avoid this danger virus variant.
Thank You,
Microsoft Technical
Support Staff
Any rights not expressly granted herein are reserved.
Contact Microsoft with questions or problems.
(c) 2004 Microsoft Corporation. All right
Datos adjuntos: funnystuff.avi.exe
La infección se produce cuando el usuario hace doble clic sobre el adjunto. El ejecutable infecta la utilidad NOTEPAD.EXE y la copia en la siguiente ubicación:
c:\funnystuff.avi.exe
El gusano también es capaz de infectar otros archivos PE con las siguientes extensiones:
.exe
.cpl
.scr
Una vez en memoria, el gusano intercepta todas las llamadas a las siguientes APIs de Windows:
WinExec
MoveFile
SetCurrentDir
Cada vez que el gusano detecta una de las llamadas mencionadas, intenta infectar los archivos relacionados.
Se agrega a si mismo al final de los archivos que infecta. Por ello los archivos infectados pueden aumentar unos 8,192 bytes su tamaño.
También puede agregar otros 4,096 bytes más, conteniendo solo basura, a cada archivo infectado.
Crea una nueva sección en el archivo infectado, con el nombre de ".DCUbLmd", para no infectar de nuevo un archivo, busca dicho nombre en el cabezal y no lo infecta si la sección existe.
Para propagarse por correo electrónico libera y ejecuta un script VBS de 875 bytes en una de las siguientes ubicaciones:
c:\vqmsxjvyc.vbs
c:\windows\vqmsxjvyc.vbs
Cuando el script se ejecuta se envía a todos los contactos de la libreta de direcciones del programa, usando funnystuff.avi.exe como adjunto.
Su código contiene el siguiente texto:
Win32.Nameless Mist - AzagTH0TH
> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y repare o elimine los archivos infectados.
4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
virus
jajajajajajaja mejor que eso es tener un buen antivirus y tenerlo constantemente actualisado
koko- Mensajes : 59
Fecha de inscripción : 19/07/2008
Re: VIRUS: WIN32/THONIC.A
Tambien........pero eso les sirve a los q no disponemos de internet en sus casa u.u........
Elkenost- Moderador
- Mensajes : 21
Fecha de inscripción : 19/07/2008
Temas similares
» Virus - Parte 1
» Virus - Parte 2
» Virus Mari Jose
» Como hacer un Virus
» virus en sectores de arranque
» Virus - Parte 2
» Virus Mari Jose
» Como hacer un Virus
» virus en sectores de arranque
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.
|
|