|
W32/Socks.D@mm
Socks.D es un gusano reportado el 13 de Marzo del 2008 propagado a través de mensajes de Correo con la técnica Spoofing, con un Asunto y un Contenido que tiene un enlace de descarga hacia un sitio web de "salvadores de pantalla" ubicado en Alemania.
Se propaga también en mensajes con el mismo enlace a la Libreta de Contactos del Microsoft Messenger.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado y compilado en Visual C++, con una extensión de 18KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
El mensaje tiene las siguientes características:
Al hacer click en el enlace dentro del contenido el sistema es dirigido a una dirección URL de Salvadores de Pantallas que contienen un exploit de ejecución automática.
Al ingresar a un sistema el gusano se copia a las rutas:
Para ejecutarse la próxima vez que se re-inicie el sistema modifica las llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"autoload" = "%User Profile%\Local Settings\Application Data\cftmon.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ntuser = "%System%\drivers\spools.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CURRENTVERSION\Run]
"ntuser" = "%System%\drivers\spools.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CURRENTVERSION\Run]
"autoload" = "%User Profile%\Local Settings\Application Data\cftmon.exe"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Schedule]
"ImagePath" = "%System%\drivers\spools.exe"
Al siguiente inicio del equipo activa su rutina de envío masivo de correo MultiSPAM.
El gusano también se conecta a las
siguientes direcciones web desde las cuales descarga una copia de sí mismo:
http://[Censurado]davies.me.uk/scr
http://[Censurado]ll.com/scr
PER ANTIVIRUS® versión X4 con registro de virus al 13 de Marzo del 2008 detecta y elimina este gusano.
