• Tweet

El "Storm Worm" esta fuera, sin embargo prepara una nueva campaña de ataques para el día de los "tontos", que esta feriado mañana. La campaña parece haber comenzado en las primeras horas, sin embargo, los reportes indican que ya se habia preparado en las ultimas 24 horas. Ejemplo de estos mensajes son como el siguiente:

Doh! April’s Fool. http://86.121.253.168/

Esa es la ip que no tiene alguna variante significante, pero algunos datos en especifico son:

Peerlist: C:\WINDOWS\aromis.config

Se instala como C:\WINDOWS\aromis.exe

Como siempre, esta a la escucha en un puerto UDP aleatorio, hace muchas conexiones salientes, se desbloquea del firewall via “netsh firewall set” y por el registro, usa w32tm parta actualizar el reloj, y asi sucesivamente.