W32/Shangxing

SHANGXING gusano/backdoor infecta raíz de discos incluso removibles crea duplicado de IE y Calc.exe, etc.

W32/Shangxing

Shangxing es un gusano/backdoor residente en memoria, reportado el 22 de Noviembre del 2007 que se propaga visitando páginas web con archivos exprofesamente infectados.

Infecta el directorio raíz de todas las unidades de disco incluyendo removibles y excluyendo lectoras de diskettes.

Crea duplicados de los archivos calc.exe e iexplore.exe, con atributo de "oculto" y al ejecutar en segunda instancia el navegador de Microsoft, se activa en su lugar en forma automática el CALC.EXE que corresponde a la Calculadora del sistema, mostrándose en la pantalla.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con una extensión de 276KB y no está encriptado.

Al ser activado se copia a las siguientes rutas con los nombres:

%CommonProgramFiles%\Microsoft Shared\MSInfo\windows.exe
%System%\_windows.exe

Y a todas las unidades de disco removibles, excepto las disqueteras:

%Unidad_de_disco%\AutoRun.inf
%Unidad_de_disco%\windows.exe

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

%Root%\AutoRun.inf

crea además la llave:

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\windows]

%Root% representa la raíz de la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Unidad_de_disco% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

Al siguiente inicio del equipo el gusano revisa todas las unidades de disco y dispositivos removibles se copia a sus carpetas raíz, exceptuando las disqueteras.

Luego crea unas copias de los archivos calc.exe e iexplore.exe, con el atributo de "oculto" a los cuales inserta su código viral.

En caso ejecutar el Internet Explorer y salir de esta aplicación, la próxima vez que el usuario se conecte a Internet usando el IE, el archivo "oculto" calc.exe se activará en su lugar.

Actuando como Backdoor, haciendo uso del puerto TCP 8181 (no asignado) se conectará al dominio liuzhaoman.5166.info, registrado en China en forma oculta y desde donde el creador del gusano controlará en forma remota el sistema infectado, pudiendo ejecutar toda clase de comandos y acciones arbitrarias.

PER ANTIVIRUS® versión 10.3 con registro de virus al 22 de Noviembre del 2007 detecta y elimina este gusano/backdoor.