Takeobel

TAKEOBEL gusano de Internet infecta carpetas y sub-carpetas renombra archivos .doc dejándolos no leíbles.

W32/Takeobel

Takeobel es un destructivo gusano reportado el 28 de Febrero del 2007 que se propaga a través de diversos servicios de Internet, incluyendo mensajes de correo.

Infecta las carpetas y sub-carpetas de todas las unidades de disco. Las oculta y cambia de atributos y renombra los archivos con extensión .doc, dejándolos no leíbles.

Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión de 28KB y comprimido con rutinas propias.

Al ser activado se copia a las siguientes rutas, con los nombres:

%System%\lgfxTray.exe
%Windir%\System\lnks.exe

para activarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lgfxTray" = "%System%\lgfxTray.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe lnks.exe"

para ocultar las carpetas del sistema y las extensiones de los archivos crea las llaves:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowInfoTip" = "0"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano revisa todas las carpetas y sub-carpetas de las unidades de disco y se copia a sí mismo con el nombre de la carpeta o sub-carpeta, mas la extensión .EXE y cambia su atributo al modo "oculto".

El gusano busca además todos los archivos con extensión .doc y les agrega la extensión .ln3, dejándolos no leíbles.

PER ANTIVIRUS® versión 10.0 con registro de virus al 28 de Febrero del 2007 detecta y elimina este gusano/backdoor.