|
W32/Ceted
Ceted es un gusano reportado el 10 de Enero del 2008 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo y servicios de mensajería instantánea.Infecta el directorio raíz de todas las unidades de disco, incluyendo dispositivos removibles.
También infecta las unidades de disco con recursos compartidos.
Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con extensiones de 251,797 y 246,093 bytes, respectivamente.
Al ser activado se copia a las siguientes rutas con los siguientes nombres (atributos de sistema, oculto y solo de lectura):
Luego copia el archivo ntdetec1.exe a todas las unidades de disco con recursos compartidos y a las removibles:
%Unidad_de_disco%\ntdetec1.exe
Para ejeuctarse la próxima vez que se re-inicie el sistema crea la llave de
registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"winlogon" = "C:\ntdetec1\run.exe"
Al siguiente inicio del equipo el gusano infecta la raíz de las unidades de
disco con recursos compartidos y las removibles.
Revisa y controla los procesos creados o ejecutados y en caso tengan las siguientes cadenas, cierra sus correspondientes ventanas:
El gusano redirecciona las búsquedas de Google a resultados previamente configurados, usando la URL:
http://www.google.com/custom?hl=en&client=pub-2141221394801249&channel=7215448870&cof=FORID 3A1 3BGL 3A1 3BLBGC 3A336699 3BLC 3A 230000ff 3BVLC 3A 23663399 3BGFNT 3A 230000ff 3BGIMP 3A 230000ff 3BDIV 3A 23336699 3B&ie=ISO-8859-1&oe=ISO-8859-1&q=[Búsqueda_inicial]
Finalmente el gusano re-iniciará el sistema si el proceso cmrss.exe
que fuera creado por el gusano, es terminado.
PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 10 de Enero del 2008 detectan y eliminan este gusano.
