|
W32/Emsenush
Emsenush es un gusano reportado el 30 de Mayo del 2008, que se propaga a través de los servicios de Mensajería Instantánea existentes en el sistema afectado.
Descarga una copia actualizada de sí mismo y envía mensajes a la Libreta de Contactos del usuario del sistema infectado, conteniendo un enlace hacia websites aleatorios acondicionados para descargar un malware.
Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 52KB y comprimido con rutinas propias.
Al ingresar a un sistema se copia al directorio %Windir% con el nombre de csrss.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"csrss" = "%Windir%\csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS" = "[Ruta_a_Ejecutable_de Instant_Messenger]/background"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo, el gusano comprueba la conectividad con Internet e intenta descargar una copia actualizada de si mismo.
A continuación busca el programa de Mensajería Instantánea que puediese estar instalado en el sistema infectado y lo ejecuta.
Inmediatamente envía los siguientes mensajes a las direcciones de la Libreta de Contactos del usuario:
Estos mensajes contiene un enlace a un sitio web aleatorio desde el cual descarga un malware.
PER ANTIVIRUS® versión X5 con registro de virus al 30 de Mayo del 2008 detecta y elimina este gusano.
