W32/Malas.Eg

MALAS.E gusano de redes compartidas Peer to Peer e ICQ infecta unidades de disco fijas y removibles.

W32/Malas.E

Malas.E es un gusano reportado el 22 de Mayo del 2008 que se propaga a través de redes de recursos compartidos Peer to Peer y el multiservicio ICQ e infecta unidades de disco fijas y removibles.

Deshabilita algunas funciones del Explorador de Windows y se copia a las carpetas de almacenamiento de archivos de las redes P2P infectado a los usuarios que establezcan una misma conexión con el sistema infectado.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con una extensión de 69KB y está encriptado con rutinas propias.

Al ingresar a un sistema se copia a las siguientes rutas:

%User%\Application Data\usrinit.exe
%Temp%\systray.exe
%User%\Local Settings\startup.exe
%Common Files%\AdobeUpdate.exe
%Program Files%\XPCode\SexGame.exe
%Program Files%\XPCode\SexGameList.pif
%Program Files%\XPCode\SexScreenSaver.scr
%Root%\autoply.exe

y crea los siguientes archivos en las rutas:

%Root%\Autorun.inf
%Startup%\Adobe Update.lnk
%Program Files%\XPCode\Games.lnk
%Windir%\Tasks\At1.job

Para ejecutarse la próxima vez que se re-incie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMax" = "%User%\Local Settings\startup.exe"

Para deshabilitar algunas funciones del Explorador de Windows modifica las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 2

%User% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Startup% es la barra de menu del lado izquierdo del escritorio de Windows que muestra la lista de programas más usados en un sistema. Se activa haciendo click en "Inicio".

Al siguiente inicio del equipo el gusano se copia a todas las unidades de disco fijas y removibles.

Para propagarse a través de las redes Peer to Peer se auto-copia a las carpetas de descarga que tengan la cadena de texto shar y download en caso de estar instaladas.

PER ANTIVIRUS® versión X5 con registro de virus al 22 de Mayo del 2008 detecta y elimina este gusano.