Amend

AMEND gusano de correo infecta unidades de disco fijas y removibles afecta Explorador de Windows, etc.

W32/Amend@mm

Amend es un gusano de correo reportado el 22 de Mayo del 2007, residente en memoria, que infecta las unidades de disco fijas y removibles, incluyendo las memorias USB.

Deshabilita varias funciones además de las relacionadas al Explorardor de Windows.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Está desarrollado en Visual C++ con una extensión de 35KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).

El mensaje tiene las siguientes características:

Asunto, uno de los siguientes:

I love lhw
My name is lhw

Contenido, uno de los siguientes:

IT IS YOUR Document THAT YOU WANT? YOU can see it by runing the attachment
Microsoft Visual Studio is found A LOT BUG! Try to repair by attachments!
The best important mend of Microsoft ,Please run the mend!!
You should run the mend at ance,or you will be infected by the most severity virus SOO

Anexados, uno de los siguientes:

Document.Doc (30.5K)[86_espacios_en_blanco].com
Microsoft Visual Studio_BuG.ZIP (30.5K)[86_espacios_en_blanco].com
The best important mend of Microsoft (30.5K)[86_espacios_en_blanco].com

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,regedit32.com"

copia un falso archivo AUTORUN.INF para ejecutar copias de sí mismo en las unidades de disco a las que pueda conectarse.

crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
"intt" = "%Windir%\[carpeta]\[nombre_aleatorio].com"

para deshabilitar la administración de archivos compartidos crea las llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer" = "1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks" = "1"

Para ocultar el Explorador de Windows crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"

para ocultar las extensiones de archivos a través del Explorador de Windows crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al ser activado el gusano se copia a las siguientes rutas, con los nombres:

%System%\msconfig.exe
%System%\regedit.exe
%System%\regedit32.com
%Windir%\Temp\internat.exe
%Windir%\Web\kav.exe
%Windir%\log.ini

revisa la carpetas en uso y se copia como a la misma con el nombre:

[carpeta_en_uso].exe

Libera además los archivos:

%Windir%\system\[nombre_aleatorio].com
%Windir%\web\[nombre_aleatorio].com
%Windir%\fonts\[nombre_aleatorio].com
%Windir%\temp\[nombre_aleatorio].com
%Windir%\help\[nombre_aleatorio].com

finalmente el gusano se copia a todas las unidades de disco fijas y removibles como:

[Unidad_de_disco]:\Comand.com

PER ANTIVIRUS® versión 10.1 con registro de virus al 22 de Mayo del 2007 detecta y elimina eficientemente este gusano.