W32/SillyFDC.CI

SILLYFDC.CI gusano redes recursos compartidos infecta raíz de unidades de disco crea o borra carpetas, etc.

W32/SillyFDC.CI

SillyFDC.CI es un gusano reportado el 29 de Mayo del 2008 que se propaga a través de redes con con recursos compartidos. Infecta todas las unidades lógicas de disco desde la C:\ a la Z:\

Muestra una caja de diálogo que puede apagar el sistema. Crea o borra determinadas carpetas con archivos. Puede dejar inutilizado el sistema.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con una extensión de 89KB y está encriptado con rutinas propias.

Al ingresar a un sistema se copia a la carpeta %System% con el nombre de MSCONFIG.EXE y para ejcutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"default" = "%System%\MSCONFIG.EXE

El gusano libera los siguientes archivos:

%System%\EXButton.ocx
%System%\mswinsck.ocx

los cuales son registrados como objetos COM, al crear las siguientes entradas:

[HKCR\CLSID\{<clsid>}]
[HKCR\Interface\{<clsid>}]
[HKCR\TypeLib\{<clsid>}]

Al siguiente inicio del equipo el gusano muestra la siguiente caja de diálogo:

En caso el usuario haga click en "OK" el sistema se apagará.

Luego se propaga entre los recursos compartidos de las redes LAN.

Infecta la raíz de todas las unidades lógicas del sistema con los archivos Limit.exe y Autorun.inf y finalmente crea o borra los siguientes archivos en las rutas:

%System%\cmd.com
%System%\cmd.exe
%System%\command.com
%System%\taskmgr.exe
%Windir%\pchealth\helpctr\binaries\msconfig.exe
%Windir%\regedit.exe
%System%\dllcache\cmd.com
%System%\dllcache\cmd.exe
%System%\dllcache\command.com
%System%\dllcache\msconfig.exe
%System%\dllcache\regedit.exe
%System%\dllcache\taskmgr.exe

En caso de borrarlas, puede dejar inutilizado el sistema.

PER ANTIVIRUS® versión X5 con registro de virus al 29 de Mayo del 2008 detecta y elimina este gusano.