|
Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP/Vista y Server 2003, desarrollado en Visual C++ con una extensión de 26.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser activado se copia a la ruta %Windir% con el nombre de svchost.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Genuine Logon" = "%Windir%\svchost.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%SystemRoot% representa la ruta raíz donde Windows se encuentra instalado, que por defecto es la C:\Windows\system32
Al siguiente inicio del equipo el gusano crea el Mutex" JFAngaY" y para deshabilitar el Windows Security Center y el servicio Winvnc4 (Virtual Network Computer) libera y ejecuta en el directorio raíz del sistema un archivo de nombre a.bat:
%SystemRoot%\a.bat
libera además al directorio %Windir% una copia de sí mismo con el nombre de img1756.zip y a través del puerto TCP 1863 se conecta a la Red Privada Virtual vpn.basecore.info desde donde recibirá intrucciones en forma remota, entre ellas:
Para propagarse via Messenger, el gusano envía a la lista de contactos del usuario con el sistema infectado uno de los siguientes mensajes, con un enlace al archivo img1756.zip el cual invita a descargar:
PER ANTIVIRUS® versión 10.2 con registro de virus al 06 de Agosto del 2007 detecta y elimina este gusano/backdoor.
