DEGNAX gusano de correo y recusos compartidos libera archivos actúa oculto contiene troyano roba información.  

© Jorge Machado  Lima-Perú

W32/Degnax@mm

Degnax es un gusano residente en memoria reportado el 21 de Enero del 2008, propagado a través de mensajes de Correo con Remitentes disfrazados bajo la técnica Spoofing, Asuntos, Contenidos aleatoria y Archivos Anexado con extensión XL, que son un troyano. 

Infecta todas las unidades de disco físicas y lógicas y las que contienen recursos compartidos.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado y compilado en Visual C++, con una extensión de 176KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de correo de la Libreta Global de Windows WAB (Windows Address Book), así como de la carpeta temporal de Internet Explorer. 

Emplea también a técnica Spoofing, con remitentes falsos elegidos aleatoriamente.

El mensaje tiene las siguientes características:

Remitente: las extraídas del sistema o con la técnica Spoofing.

Asunto, uno de los siguientes:

Contenido, uno de los siguientes: 

Anexado, uno de los siguientes: 

Al ejecutarse el gusano se copia a la las siguientes rutas y con los nombres de archivos:

libera además los archivos:

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para ejecutarse la próxima vez que se re-inicie agrega las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysPrnt" = "%Windir%\userinit.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Help" = "%Windir%\userinit.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SrvSec" = "%Windir%\security\logs\svchost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SrvSec" = "%Windir%\security\logs\svchost.exe"

El gusano modifica las sub-llaves para ocultar su presencia en el sisema:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0x00000000"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "0x00000001"

El gusano también libera en el sistems los archivos:

Y para propagarse por todas la unidades físicas y lógicas de la red LAN copia los siguientes archivos:

Al siguiente inico del equipo el gusano infecta las unidades de disco físicas y lógicas y las que contienen recursos compartidos. El troyano roba información del sistema y la envía a una dirección de correo cifrada perteneciente al autor.

PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 21 de Enero del 2008 detectan y eliminan este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS