|
W32/Redlofwen
Redlofwen es un gusano reportado el 26 de Abril del 2007, que se propaga a través de diversos servicios de Internet e infecta todas las unidades de disco de los sistemas, incluyendo los dispositivos removibles de almacenamiento.Sobre-escribe el Explorador de Windows alterando su configuración por defecto.
Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con 104KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al activarse se copia a las siguientes rutas, con los nombres:
para ejecutarse la próxima vez que se re-inicie el sistema y alterar la configuración del Explorador de Windows crea las llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath" = "01 00 00 00"
[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "01 00 00 00"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "C:\WINDOWS\Windows Explorer.exe"
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP
Al siguiente inicio del equipo el gusano termina los siguientes procesos:
y se autocopia al directorio raíz de todas las unidades de disco y a los dispositivos removibles, con uno de los nombres de archivo:
PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 26 de Abril del 2007 detectan y eliminan eficientemente este gusano.
