W32/SillyFDC.AS

SILLYFDC.AS gusano de redes recursos compartidos deshabilita antivirus infecta unidades de disco removibles, etc.

W32/SillyFDC.AS

SillyFDC.AS es un gusano reportado el 24 de Agosto del 2007, residente en memoria que se propaga a través de redes con recursos compartidos con vulnerabilidades, puerto TCP 80 (HTTP) y otros servicios de Internet.

Desahabilita software antivirus, descarga archivos inocuos de diversos URLs e infecta las unidades de disco de almacenamiento removibles.

Crea sub-llaves de registro que periódicamente deshabilitan servicios del sistema.

Infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con una extensión de 66KB.

Al activarse se copia a las siguientes rutas con nombres de archivos configurados en forma aleatoria:

%Common Files%\Microsoft Shared\[archivo_generado_aleatoriamente].exe
%Common Files%\System\[archivo_generado_aleatoriamente].exe
%Program Files%\[archivo_generado_aleatoriamente].exe

y libera los siguientes archivos que copia a las rutas:

%Program Files%\1.hiv
%Program Files%\2.hiv
%Program Files%\3.hiv
%Program Files%\4.hiv
%Program Files%\ReadDown.txt
%Program Files%\[archivo_generado_aleatoriamente].inf

Para ejecutarse la próxima vez que se re-inicie el sistema agrega diversos valores a la llave de registro:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

Al siguiente inicio del equipo, el gusano deshabilita los antivirus que se encuentren instalados en el sistema, se conecta a Internet y rastrea redes con recursos compartidos que tengan vulnerabilidades y de lograr ingresar copia sus archivos infectados.

Para deshabilitar periódicamente determinados servicios del sistema crea las sub-llaves:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start = 4

[HKLM\SYSTEM\CurrentControlSet\Services\helpsvc]
Start = 4

[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Start = 4

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Start = 4

[HKLM\SYSTEM\CurrentControlSet\Services\RSPPSYS]
Start = 4

[HKLM\SYSTEM\ControlSet001\Services\wscsvc]
Start = 4

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
Start = 4

[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
CheckedValue = 0

[HKU\S-1-5-21-1409082233-115176313-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 2

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoDriveTypeAutoRun = 91

Infecta unidades de disco de almacenamiento removibles. Descarga archivos inocuos desde diversos sitios web usando el puerto TCP 80 (HTTP)

PER ANTIVIRUS® versión 10.2 con registro de virus al 24 de Agosto del 2007 detecta y elimina eficientemente este gusano.