|
Intenta descargar archivos con códigos malignos de un portal y un servidor FTP ubicados en Tailandia.
Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 222KB comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser ejecutado se copia a la carpeta %System% con el nombre de msnmsgr.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr" = "%System%\msnmsgr.exe"
%System% es
la variable C:\Windows\System para Windows
95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows
XP y Windows Server 2003.
para deshabilitar el Editor de Registros crea las sub-llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"DisableRegistryTools" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
"DisableRegistryTools" = "1"
para deshabilitar el Administrador de Tareas crea las sub-llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"DisableTaskMgr" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
"DisableTaskMgr" = "1"
para deshabilitar el prompt del COMMAND crea las sub-llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"DisableCMD" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
"DisableCMD" = "1"
al siguiente inicio del equipo el gusano muestra la siguiente falsa caja de diálogo:
y se copia a todas las unidades de disco disponibles en el sistema, con los nombres:
luego crea el archivo autorun.inf en el directorio raíz de todas las unidades de disco para ejecutar el gusano cuando se creen otras unidades.
El gusano descarga de un portal y un servidor FTP ubicados en Tailandia los siguientes archivos:
PER ANTIVIRUS® versión 9.9 con registro de virus al 15 de Noviembre del 2006 detecta y elimina este gusano.
