W32/Addsones

ADDSONES gusano troyano usa técnica Roootkit infecta archivos ejecutables y raíz de discos removibles.

W32/Addsones

Addsones es un troyano/gusano reportado el 10 de Septiembre del 2007, que se propaga a través de servicios de Internet, incluyendo mensajes de correo electrónico.

Su componente Rootkit infecta los archivos ejecutables de todas las unidades de disco físicos y lógicos.

Infecta además la raíz de las unidades de disco removibles, incluyendo los dispositivos de almacenamiento USB.

Es un PE (Portable Ejecutable) para Windows 95/98/NT/Me/2000/XP/Vista y Server 2003 desarrollado con el generador Hacktool Rootkit, y tiene 299KB de extensión.

Al activarse se copia a la siguiente ruta con los nombres de archivos:

%Windir%\system\ctfmon.exe
%Windir%\system\gg_ads_clk.dll
%Windir%\system\gg_ads_clk.cfg
%Windir%\system\gg_ads_clk.ini
%Windir%\system\gg_ads_rep.dat
%Windir%\system\DATA_0FAB1924-5DBF-1947-157BA64AC7945BB1
%Windir%\system\nthide.dll (componente Rootkit)
%Windir%\system\cure.exe

Se copia a la raíz de las unidades de disco, incluyendo las removibles y dispositivos USB que estuviesen conectados, como:

[Unidad_de_disco]\autorun.inf

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe" = "%Windir%\system\ctfmon.exe"

Al siguiente inicio del equipo, el gusano revisa en forma "oculta" y cambiando aleatoriamente de carpetas bajo la técnica Rootkit, las unidades de disco físicas y lógicas, insertando su código viral en todos los archivos ejecutables, haciéndolos crecer en 299KB, dejándolos inoperativos.

Infecta la raíz de las unidades de disco removibles, incluyendo los dispositivos de almacenamiento USB.

Aleatoriamente se conecta a sitios web donde se muestran publicidad.

PER ANTIVIRUS® versión 10.2 con registro de virus al 10 de Septiembre del 2007 detecta y elimina eficientemente este troyano.