Rosserag

ROSSERAG gusano infecta IE, archivos .EXE y de otras extensiones en unidades desde la D: a la Z:, etc.

W32/Rosserag

Rosserag es un gusano reportado el 11 de Junio del 2007 que se propaga a través de diversos servicios de Internet e infecta todos los archivos ejecutables en unidades de disco desde la D:\ a la Z:\ excepto los CD/DVD-ROM.

Inserta su código en el Internet Explorer e intenta descargar una copia de sí mismo desde un sitio web ubicado en la China, registrado en forma anónima sin nombre y con la dirección de correo abc200737@126.com

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está programado en Visual C++ con 77KB de extensión.

Al activarse se copia con el atributo de "oculto" a:

%System%\Svchost.exe
%CurrentFolder%\[espacio_en_blanco]\[nombre_aleatorio].dll

y para activarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Service Process" = "%System%\Svchost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%CurrentFolder% es una variable que corresponde a la carpeta que se encuentre abierta al momento de producirse la infección.

Al siguiente inicio el gusano revisa todas las unidades de disco desde la D:\ a la Z:\ excepto los CD/DVD-ROM e infecta los archivos .EXE y los que tengan cualquiera de las siguientes extensiones:

htm
html
asp
aspx
php
jsp

intenta descargar y copiar al directorio raíz, el archivo ntdetect.dll desde la siguiente direción URL ubicada en la China:

http://www.aggressor.cn/[Censurado]

PER ANTIVIRUS® versión 10.1 con registro de virus al 11 de Junio del 2007 detecta y elimina eficientemente este gusano.