|
W32/Imaut.CN
Imaut.CN es un gusano reportado el 21 de Febrero del 2008 que se propaga vía Yahoo Instant Messenger y redes con recursos compartidos.
Descarca archivos de un portal de Rusia los cuales cambian la configuración del sistema. Se activa cronológicamente todos los días a las 09:00 AM e infecta la raíz de todas las unidades de disco.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003, está desarrollado en Visual C++, con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ingresar a un sistema el gusano se copia a las rutas:
En caso de no existir, el gusano crea los siguientes legítimos archivos DLL:
Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\regsvr.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system" = "Winhelp.exe"
Adicionalmente como parte de su rutina de inicio crea la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe rundll.exe"
Al siguiente inicio del equipo crea la siguientes sub-llaves para ocultar su presencia en el sistema y deshabilitar algunas de sus funciones:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NofolderOptions" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
Configura una tarea para auto-ejecutarse todos los días a las 09:00 AM con el siguiente comando:
/interactive /EVERY:m,t,w,th,f,s,su %System%\winhelp.exe
Revisa la siguiente sub-llave para detectar cualquier carpeta con recursos compartidos:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares]
Al hallarlas se copia a las carpetas y unidades de disco lógicas que
encuentre, excluyendo a la unidad A:\ con
los archivos:
%Unidad_de_disco%\New Folder.exe
%Unidad_de_discor%\regsvr.exe
Después de copiarse a un recurso compartido, el gusano agrega la siguiente
sub-llave que se muestra como una carpeta compartida:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares]
"\New Folder.exe"
Para que el gusano se ejecute cada vez que se active una unidad de disco se copia a:
%Unidad_de_disco%\autorun.inf
Luego intenta descargar una actualización de configuraión de sistema desde un
sitio web ubicado en Rusia:
http://crackspider.net/setting.exe
http://crackspider.net/setting.dll
Al descargarlos crea los siguientes archivos para almacenar la información de
configuración:
La nueva configuración contiene instrucciones para acceder a direcciones web
con códigos malignos.
El gusano cierra cualquier ventana que tenga una de las siguientes cadenas en su
título:
También borra el valor de la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BkavFw"
Revisa y cierra cualquier ventana con el título de FireLion.
Borra la siguiente llave y re-inicia el sistem automáticamente, sin
intervención del usuario:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"IEProtection"
Periódicamente termina los procesos que contengan las cadenas:
El gusano envía a la lista de contactos del Yahoo Instant Messenger el siguiente mensaje:
Happy sankranti/pongal http://crackspider.net[Removido]
PER ANTIVIRUS®
versión X4 con registro de virus al 21 de Febrero del
2008 detecta y elimina este gusano.
