W32/Likasimal

LIKASIMAL gusano redes con recursos compartidos infecta los SMB y WebDav cambia el tapiz de Windows.

W32/Likasimal

Likasimal es un gusano reportado el 29 de Noviembre del 2007, que ingresa a los sistemas a traves de diversos servicios de Internet y se propaga en las redes con recursos compartidos.

Se copia a sí mismo en los Server Message Blocks (SMB) y en los archivos de las carpetas WebDav (Web-based Distributed Authoring and Versioning).

Cambia el tapiz del escritorio de Windows.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP/Vista y Server 2003, escrito en MS Visual C++ con una extensión de 69KB y comprimido con rutinas propias.

Al ingresar a un sistema se copia a las siguientes rutas con los nombres: C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\msoffice.exe C:\Documents and Settings\Default User\Start Menu\Programs\Startup\msoffice.exe %System%\msoffice.exe %Windir%\msoffice.exe %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. %Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"msoffice" = "msoffice.exe"

Al siguiente inicio del equipo el gusano crea la siguiente sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\msoffice]

Luego cambia el tapiz del escritorio de Windows con la siguiente imagen BMP:

Finalmente el gusano sobre-escribe su código viral en los siguientes SMB (Server Message Block) y archivos de las carpetas WebDav:

C$
D$
C$\Documents And Settings
D$\Documents And Settings
C$\WINDOWS
D$\WINDOWS
C$\WINDOWS\SYSTEM32
D$\WINDOWS\SYSTEM32

PER ANTIVIRUS® versión 10.3 con registro de virus al29 de Noviembre del 2007detecta y elimina eficientemente este gusano.