 |
Logpole.C es un gusano reportado el 10 de Noviembre del 2003, de alta propagación masiva a través de la red de archivos compartidos Peer to Peer KaZaa, con un archivo de nombre System32.exe, sin efectos nocivos, excepto el de saturar los sistemas. |
|
W32.Logpole.C, I.worm.Logpole.C
|
Logpole.C es un gusano reportado el 10 de Noviembre del 2003, de alta propagación masiva a través de la red de archivos compartidos Peer to Peer KaZaa, con un archivo de nombre System32.exe, sin efectos nocivos, excepto el de saturar los sistemas. |
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi, con una extensión de 453.5 KB.
Al ser ejecutado se copia al directorio %Windir% con el nombre de System32.exe y en el caso que existir la carpeta System32 en la ruta C:\Windows\System32, el gusano crea la sub-carpeta \Help:
C:\Windows\System32\Help
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows-System" =
"%Windir%\System32.exe"
Al siguiente inicio el gusano genera copias de sí mismo en la ruta C:\Windows\System32\Help con los siguientes nombres:
Y para propagarse a través de la red KaZaa crea la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0"="012345:%Windir%\System32\Help"
Los payloads
de este gusano son:
PER ANTIVIRUS
® versión 8.3 con registro de virus al 10 de Noviembre del 2003, detecta y elimina eficientemente este gusano.
