|
W32/Smit
Smit es un gusano/backdoor reportado el 04 de Diciembre del 2007, que se propaga a través de diversos servicios de internet e infecta recursos compartidos y unidades de almacenamiento removibles.Termina procesos relacionados a software antivirus y funciones del sistema.
El décimo tercer día de cada mes el gusano borra archivos de la carpeta personal del usuario y todas sus sub-carpetas y configura el volumen de la unidad C:\ con el nombre de "MSuri".
Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 72KB y comprimido con el utilitario ASProtect.
Una vez ingresado, el gusano se copia a las siguientes rutas con los nombres de archivos:
para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System64A" = "%System%\System64A.exe"
Para activar el archivo LoadGUI.exe
cada vez que se abre o ejeucta un archivo .EXE
crea la llave:
[HKEY_CURRENT_USER\exefile\shell\open\command]
"default" = "loadGUI.exe %1 %*"
Al siguiente inicio del equipo del sistema el gusano termina los procesos relacionados a antivirus, funciones del sistema, administrador de la barra de tareas, comando command, etc.:
Luego se copia a sí mismo en los recursos compartidos, dispositivos removibles y carpetas personales de Inicio, con los nombres:
El décimo tercer día de cada
mes el gusano borra los archivos de la carpeta personal del usuario y todas sus
sub-carpetas y procede a configurar el volumen de la unidad C:\
como "MSuri".
Agrega valores a la siguiente sub-llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal]
PER ANTIVIRUS® versión 10.3 con registro de virus al 04 de Diciembre del 2007 detecta y elimina este gusano.
