|
W32/Mixor.I@mm
Mixor.I es un gusano reportado el 20 de Noviembre del 2006 de propagación masiva a través de mensajes de Correo con asuntos, contenidos y archivos anexados de nombres aleatorios.
Deshabilita el acceso compartido al sistema y el Firewall de Windows. Termina los procesos de antivirus, firewall y software de seguridad.
Es un PE (Portable Ejecutable) e infecta Windows Me/NT/2000/XP y Server 2003 está desarrollado en Visual C++ con una extensión de 15KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las buzones de correo la Libreta de Direcciones de Windows (WAB) y los contenidos en la siguiente llave:
[HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name]
Los mensajes tienen estas características:
Remitente, usa una de las direcciones extraídas del sistema.
Asunto, uno de los siguientes:
Contenido, uno de los siguientes:
Anexado, uno de los siguientes:
Al activarse el gusano se copia a la carpeta %System% con el nombre de wservice.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateService" = "%System%\wservice.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
para deshabilitar el acceso compartido y el Firewall de Windows crea la llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
Al siguiente inicio del equipo termina los procesos de los antivirus, firewalls o software de seguridad que tenga una de las cadenas:
PER ANTIVIRUS® versión 9.9 con registro de virus al 20 de Noviembre del 2006 detecta y elimina eficientemente este gusano.
