Fujacks.AZ

FUJACKS.AZ gusano/backdoor de servicios de Internet backdoor de IRC infecta archivos EXE en unidades de disco, etc.

W32/Fujacks.AZ

Fujacks.AZ es un destructivo gusano/backdoor reportado el 23 de Febrero del 2007 residente en memoria que se propaga a través de diversos servicios de Internet, incluyendo mensajes de correo.

Al ser ejecutado permanece activo en el background.

Infecta los archivos .EXE de todas las carpetas de las unidades de disco del sistema, excepto los ubicados en %Windir% y ProgramFiles%

Se conecta a un servidor IRC (Internet Relay Chat) y une a un canal de Chat cifrados desde el que ejecutará comandos remotos arbitrarios.

Infecta Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión variable y comprimido con rutinas propias.

Al ser activado se copia a las siguientes rutas, con los nombres:

%Carpeta_en_uso%\Games.exe.exe
%System%\drivers\nvscv32.exe

para activarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare" = "%System%\drivers\nvscv32.exe"

para ocultar las carpetas del sistema a través del Windows Explorer, crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0

%Carpeta_en_uso% es la variable correspondiente a la carpeta que se encuentre abierta al momento de producirse la infección.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano se propaga a todas las carpetas de las unidades de disco del sistema, además de las de las estaciones de trabajo, en caso de infectar una red local (LAN).

Busca archivos .EXE en todas las carpetas de las unidades de disco insertando su código viral, exceptuando en los ubicadas en %Windir% y %ProgramFiles%

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Relay Chat) y une a un canal de Chat cifrados, desde el que podrá ejecutar comandos remotos en forma arbitraria.

PER ANTIVIRUS® versión 10.0 con registro de virus al 23 de Febrero del 2007 detecta y elimina este gusano/backdoor.