|
Haciendo uso de la técnica de la fuerza bruta, el troyano ingresa a los recursos compartidos como Administrador o usuario. Extrae información y la envía a una dirección web encriptada a través del puerto TCP 80 HTTP.
Infecta todos los archivos con extensión .EXE,
de las unidades de disco, dejándolos inoperativos.
Al ser ejecutado se copia a las siguientes rutas:
para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = %Windir%\rundl132.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo, el troyano rastrea todas la unidades de disco buscando archivos con recursos compartidos, incluso en la red local LAN, en caso el sistema infectado estuviese conectado.
Luego emplea el método de la "fuerza bruta" para intentar ingresar a redes con recursos compartidos configuradas con contraseñas débiles, como Administrador accediendo a:
De conseguir ingresar, se propaga en recursos compartidos protegidos con contraseñas, usando un password en blanco y los siguientes nombres:
Revisa las unidades de la C:\ a la Z:\ y agrega su código viral a todos los archivos con extensión .EXE, dejándolos inoperativos.
Extrae información y la envía a una dirección web encriptada a través del puerto TCP 80 HTTP.
PER ANTIVIRUS® versión X4 con registro de virus al 03 de Marzo del 2008 detecta y elimina este troyano/gusano.
