|
W32/Tufik.E
Tufik.E un destructivo gusano reportado el 18 de Mayo del 2008 que se propaga a través de otros malwares o visitando sitios web infectados.
Sobrescribe su código en todos los archivos ejecutables de las unidades de disco fijas, lógicas y removibles, dejándolos inutilizables.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/XP/Vista y Server 2003, desarrollado en Assembler con las extensiones de 60,141 bytes y 82,944 bytes que no están encriptadas.
Al ingresar a un sistema se copia a las siguientes rutas:
luego crea el siguiente servicio, con atributo de ejecución automática al Inicio del sistema:
Nombre de Servicio: Services management
Nombre mostrado: Services management
Ruta de imagen: %System%\serivces.exe
y las siguientes sub-llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{C1498DA0-135E-46EA-B01B-86042A31ED82}]
[HKEY_CURRENT_USER\TypeLib\{C1498DB2-135E-46EA-B01B-86042A31ED82}]
[HKEY_CURRENT_USER\Interface\{C1498DBF-135E-46EA-B01B-86042A31ED82}]
[HKEY_CURRENT_USER\IEFalgObj.IEFalgObj]
[HKEY_CURRENT_USER\IEFalgObj.IEFalgObj.1]
[HKCR\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82]
[HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{C1498DA0-135E-46EA-B01B-86042A31ED82}]
%User Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
Al siguiente inicio del equipo el gusano revisa las unidades de disco y extrae los archivos con las siguientes extensiones:
e iserta en esos archivos el siguiente Iframe:
<iframe src="http://pk.yhgames.com/inde[Removido]" width="0" height="0"></iframe>
y se copia a todas las unidades de disco fijas, lógicas y removibles en las rutas:
Finalmente el gusano sobrescribe su código en todos los archivos ejecutables de las unidades de disco, dejándolos inutilizables.
PER ANTIVIRUS® versión X5 con registro de virus al 18 de Mayo del 2008 detecta y elimina eficientemente este troyano.
