|
W32/Socay@mm
Socay es un destructivo troyano/backdoor reportado el 16 de Enero del 2003, que actúa como gusano de propagación masiva a través de mensaje de correo con un Asunto y Contenido en español y con archivos anexados de diferentes nombres, con extensión .EXE, que extrae de los sistemas infectados, a los cuales sobre-escribe su código viral.
Ha sido desarrollado en Borland Delphi, tiene una extensión de 244 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Es PE (Portable Ejecutable) e infecta a Windows 95/98/NT/Me/2000/XP, incluyendo servidores NT/2000.
Al hacer clic en el archivo infectado, el gusano emite una caja de diálogo con un falso aviso de error:
Luego se copia a la carpeta %Windir% con el nombre de scanregw.exe y sobre-escribe el verdadero archivo de sistema del mismo nombre, que es empleado para restaurar el regedit.exe.
Para activarse la próxima vez que se inicie el
sistema configura la siguiente llave de registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" =
%Windir%\scanregw.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
Al ejecutarse el scanregw.exe infectado, intenta copiarse a la unidad A:\ con el archivo generado por el gusano, de nombre Visa de Trabajo_espacios_en_blanco_.exe y realiza el intento en intervalos de varios minutos.Finalmente, el gusano actúa como un Servidor backdoor o "puerta falsa", que a través del puerto 8520 el sistema infectado puede recibir instrucciones o comandos remotos del hacker que tiene el backdoor Cliente, quien tomará un control absoluto de la computadora, estación de trabajo o hasta del servidor infectado, pudiendo ejecutar acciones tales como:
PER ANTIVIRUS® versiones 7.8 y 7.9 con registro de virus al 16 de Enero del 2003 detectan y eliminan eficientemente este gusano/troyano/backdoor.
