W32/Joydotto

JOYDOTTO gusano infecta raíz de unidades de discos y de recursos compartidos descarga archivos malignos.

W32/Joydotto

Joydotto es un gusano reportado el 30 de Enero del 2008 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo y servicios de mensajería instantánea.

Infecta el directorio raíz de todas las unidades de disco, incluyendo dispositivos removibles y las unidades de disco con recursos compartidos.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con 94KB de extensión y no está encriptado.

Al ser activado se copia a las siguientes rutas con los nombres:

%System%\cvrqpb.dat
%System%\strecog.exe

Luego se copia a todas las unidades de disco:

%Unidad_de_disco%\strecog.exe

y para ejecutarse cada vez que se abra una unidad de disco se copia a:

%Unidad_de_disco%\autorun.inf

Para ejucutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"winlogon" = "%System%\strecog.exe"

Al siguiente inicio del equipo el gusano infecta la raíz de las unidades de disco con recursos compartidos y las removibles.

Crea un nuevo servicio del sistema con la siguientes características:

Nombre mostrado: SmartTag Recognizer
Descripción: Enables a system to recognize smart tag.
Ruta de imagen: %System%\strecog.exe

Finalmente el gusano intenta descargar un archivo con código maligno desde diversas rutas pertenecientes a un dominio ubicado en Japón, que ofrece alojamiento de páginas web.

http://1gokurimu.com/images/get[Censurado]
http://66.197.185.85/cg/joy[Censurado]
http://gohome4.1gokurimu.com/joy[Censurado]
http://gohome6.freehostingnow.net/joy[Censurado]
http://gohome6.byethost13.com/joy[Censurado]

PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 30 de Enero del 2008 detectan y eliminan este gusano.