W32/Hooon

Deshabilita el Administrador de Tareas de Windows, el Editor de Registros, el comando Prompt y la opción de Carpetas del Explorador de Windows de sistemas operativos en inglés y árabe.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está programado en Visual C++ con 40KB de extensión.

Al activarse se copia a la carpeta %System% y al directorio %Windir% con los nombres:

%System Root%\Sys.exe 
%Windows%\Web\Sys.exe

y para activarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NoooH" = "C:\Windows\Web\Sys.exe"

Para deshabilitar el Administrador de Tareas crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el Editor de Registros crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar el Comando Prompt crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "0"

Para deshanilitar la opción de Carpetas del Exlorador de Windows crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
"NoFolderOptions" = "dword:00000001" 

Al siguiente inicio del equipo el gusano muestra la siguiente falsa caja de diálogo:

y cierra las ventanas que tengan cualquiera de las siguientes cadenas: 

• \\cmd.exe
• Folder Options
• 32\\command.c
• Windows Task Manager
• Registry Editor

Luego revisa todas la unidades de disco removibles y los dispositivos de almacenamiento de memoria USB y se copia a cada una de ellas:

autorun.inf
[Unidad_de_disco]\Sys.exe

PER ANTIVIRUS® versión 10.1 con registro de virus al 06 de Junio del 2007 detecta y elimina eficientemente este gusano.