|
W32/Bratsters
Bratsters es un gusano reportado el 26 de Julio del 2007 que infecta las unidades lógicas de disco, removibles y dispositivos USB.
Se conecta a dos sitios web ubicados en la China e intenta descargar archivos con códigos malignos.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 24KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ingresar a un sistema se copia a la carpeta %System% con los nombres de archivos:
copia además a la raíz de todas las unidades de disco lógicas y removibles los siguientes archivos:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
y para ejecutarse la próxima vez que se reinicie el sistema y provocar determinadas acciones, crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Visual WEB]
"Start" = "2"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Visual WEB]
"ImagePath" = "%System%\wnipsvr.exe -run"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Visual WEB]
"DisplayName" = "NetworSVSA"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Visual WEB]
"Description" = "ÔÊÐí¶ÔTCP/IPÉÏNetBios·þÎñÒÔ¼°NetBTÃû³Æ½âÎöµÄÖ§³Ö¡£"
Al siguiente inicio del equipo se copia a la raíz de todas unidades de disco, incluyendo las removibles y dispositivos de almacenamiento USB.
Luego se conecta e intenta descargar un archivo infectado desde la dirección URL:
http://cao.ganbibi.com (ubicado en Beijing-China)
en caso de tener éxito copia a %ProgramFiles%, los archivos a:
%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.
Finalmente intenta descargar
infructuosamente desde un sitio web ubicado en China, otro archivo
infectado.
PER ANTIVIRUS®
versiones 10.1 y 10.2 con registro de virus al 26 de
Julio del
2007 detectan y eliminan
eficientemente este gusano.
