W32/Malas

MALAS gusano de redes Peer to Peer e ICQ inhabilita funciones del sistema y del Explorador de Windows, etc.

W32/Malas

Malas es un gusano reportado el 20 de Noviembre del 2007, que ingresa a los sistemas a través de conexiones con las redes de compartimiento de archivos Peer to Peer y el portal multiservicios ICQ.

Infecta los archivos de las carpetas de descarga de servicios tales como KazaA, Morpheus, LimeWire, etc. además del ICQ.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP/Vista y Server 2003, escrito en MS Visual C++ con una extensión de 129KB y comprimido con rutinas propias.

Al ingresar a un sistema se copia a las siguientes rutas con los nombres: %Startup%\AdobeUpdate.exe %Temp%\svchost.exe %Common Files%\Microsoft Shared\MSshare.exe %Program Files%\Sound Utility\Soundmax.exe %Program Files%\XPCode\SexGame.exe %Program Files%\XPCode\SexGameList.pif %Program Files%\XPCode\SexScreenSaver.scr %Root%\autoply.exe

Libera además en las siguientes rutas los archivos:

%Root%\Autorun.inf
%Startup%\Office Update.lnk
%Program Files%\XPCode\Games.lnk

%Startup% es la barra de menu del lado izquierdo del escritorio de Windows que muestra la lista de programas más usados en un sistema. Se activa haciendo click en "Inicio".

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%Root% representa la raíz de la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMax" = %Program Files%\Sound Utility\Soundmax.exe

Al siguiente inicio del equipo el gusano se copia a las carpetas de descarga de los sistemas Peer to Peer tales como Kazaa, Morpheus, Limewire, etc. así como del ICQ, con los nombres de:

AdobeUpdate.exe
SexGame.exe
SexGameList.pif
MSshare.exe

Para deshabilitar la Restauración del sistema crea las sub-llaves: [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore] DisableConfig = 1 [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore] DisableSR = 1 Para deshabilitar el control de carpetas del Explorador de Windows crea la sub-llave: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] Nofolderoptions = 1

Para ocultar las carpetas del Explorador de Windows crea las sub-llaves: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Hidden = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] ShowSuperHidden = 2

Para ocultar las extensiones de los archivos del Explorador de Windows crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] HideFileExt = 2

PER ANTIVIRUS® versión 10.3 con registro de virus al20 de Noviembre del 2007detecta y elimina eficientemente este gusano.