|
FUJAKS.D
destructivo gusano de redes recursos compartidos termina procesos servicios
borra archivos EXE, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Fujaks.D
Fujaks.D es un destructivo gusano
reportado el 07 de Diciembre del 2006, que se propaga a través de las
redes con recursos compartidos configuradas con contraseñas
débiles.
Termina procesos y servicios
relacionados a software de seguridad y control.
Infecta todos los
archivos con extensión .EXE
de las unidades de disco del sistema infectado, dejándolos inoperativos.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP
y Server 2003, está desarrollado en MS Visual C++ con una extensión
variables.
Una vez ingresado a un sistema se copia a las
siguientes rutas con los nombres:
- [Letra_de_Unidad_de_disco]\setup.exe
- [Letra_de_Unidad_de_Red]\GameSetup.exe
- %System%\spoclsv.exe
y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svcshare" = "%System%\spoclsv.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare" = "%System%\spoclsv.exe"
Para ejecutar el archivo setup.exe,
modifica el Auntorun.inf:
[Letra_de_Unidad_de_disco]\autorun.inf
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio el gusano
termina los procesos de los software de seguridad que tengan las
siguientes cadenas:
- Mcshield.exe
- VsTskMgr.exe
- naPrdMgr.exe
- UpdaterUI.exe
- TBMon.exe
- scan32.exe
- Ravmond.exe
- CCenter.exe
- RavTask.exe
- Rav.exe
- Ravmon.exe
- RavmonD.exe
- RavStub.exe
- KVXP.kxp
- KvMonXP.kxp
- KVCenter.kxp
- KVSrvXP.exe
- KRegEx.exe
- UIHost.exe
- TrojDie.kxp
- FrogAgent.exe
- Logo1_.exe
- Logo_1.exe
- Rundl123.exe
Termina los servicios de
los software de seguridad con las cadenas:
- Schedule
- sharedaccess
- RsCCenter
- RsRavMon
- RsCCenter
- RsRavMon
- KVWSC
- KVSrvXP
- KVWSC
- KVSrvXP
- kavsvc
- AVP
- AVP
- kavsvc
- McAfeeFramework
- McShield
- McTaskManager
- McAfeeFramework
- McShield
- McTaskManager
- navapsvc
- wscsvc
- KPfwSvc
- SNDSrvc
- ccProxy
- ccEvtMgr
- ccSetMgr
- SPBBCSvc
- Symantec Core LC
- NPFMntor
- MskService
- FireSvc
cierra las las sub-llaves con
las cadenas:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network
Associates Error Reporting Service
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
emplea comandos de redes con
recursos compartidos para cerrar todas las carpetas compartidas encontradas.
borra las siguientes
extensiones de archivos, del directorio raíz o de particiones lógicas,
exceptuando a la unidad C:
borra los procesos de
Windows que tengan las cadenas:
- QQKav
- QQAV
- VirusScan
- Symantec AntiVirus
- iDuba
- esteem procs
- Wrapped gift Killer
- Winsock Expert
- msctls_statusbar32
- pjf(ustc)
- IceSword
Rastrea direcciones de redes con recursos compartidos
configuradas con contraseñas débiles y para poder ingresar a las mismas usa el método de la fuerza bruta
con una lista compilada en su código, que contiene los siguientes nombres y
contraseñas:
- admin$
- admin$
- 1234
- password
- 6969
- harley
- 123456
- golf
- pussy
- mustang
- 1111
- shadow
- 1313
- fish
- 5150
- 7777
- qwerty
- baseball
- 2112
- letmein
- 12345678
- 12345
- ccc
- admin
- 5201314
- qq520
- 123
- 1234567
- 123456789
- 654321
- 54321
- 111
- 000000
- abc
- 11111111
- 88888888
- pass
- passwd
- database
- abcd
- abc123
- sybase
- 123qwe
- server
- computer
- 520
- super
- 123asd
- ihavenopass
- godblessyou
- enable
- 2002
- 2003
- 2600
- alpha
- 110
- 111111
- 121212
- 123123
- 1234qwer
- 123abc
- 007
- aaa
- patrick
- pat
- administrator
- root
- sex
- god
- foobar
- secret
- test
- test123
- temp
- temp123
- win
- asdf
- pwd
- qwer
- yxcv
- zxcv
- home
- xxx
- owner
- login
- Login
- pw123
- love
- mypc
- mypc123
- admin123
- mypass
- mypass123
- 901100
- Administrator
- Guest
- admin
- Root
Finalmente infecta todos los
archivos con extensión .EXE
de las unidades de disco del sistema infectado. dejándolos inoperativos.
PER ANTIVIRUS® versión
9.9 con registro de virus al 07 de
Diciembre del 2006 detecta y elimina
eficientemente este gusano.
