|
Deshabilita el Windows Security Center y el servicio Winvnc4 (Virtual Network Computer).
Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP/Vista y Server 2003, desarrollado en Visual C++ con 2 arhivos con extensiones de 86,528 y 86,686 bytes, respectivamente y comprimidos con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser activado se copia a las siguientes rutas, con los nombres:
para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Application" = "%Windir%\vpcrtf.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo el gusano ejecuta el archivo C:\a.bat y deshabilita el Windows Security Center y el servicio Winvnc4 (Virtual Network Computer).
Para propagarse via MSN Messenger, Windows Messenger y Windows Live Messenger el gusano envía a la lista de contactos del usuario con el sistema infectado uno de los siguientes mensajes, con un enlace al archivo img807.zip el cual invita a descargar:
El archivo img807.zip contiene una copia del gusano de nombre img807.jpg-www.photoalbums.com
Actuando como Backdoor, a través del puerto TCP 1863 se conecta un servidor IRC (Internet Chat Relay), ubicado en la Red Privada Virtual vpn.basecore.info desde donde recibirá intrucciones en forma remota, entre ellas:
PER ANTIVIRUS® versión 10.2 con registro de virus al 16 de Agosto del 2007 detecta y elimina este gusano/backdoor.
