W32/YMWorm

YMWORM gusano de Chat infecta programas de Mensajería Instantánea inhabilita funciones del sistema, etc.

W32/YMWorm

YMWorm es un gusano reportado el 17 de Diciembre del 2007 propagado a través de programas de canales del IRC (Internet Chat Relay) que infecta programas de Mensajería Instantánea.

Cambia la configuración del Internet Explorer y deshabilita fuciones del sistema.

Es un Portable Ejecutable que infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ y comprimido con Armadillo (producido en China):

http://www.exetools.com/

Una vez ingresado a un sistema, el gusano se copia a %System% con los nombres:

%System%\cmd.exe
%System%\svchost.exe
%System\svchost32.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Task Manager" = "%System%\svchost.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messenger" = "%System%\svchost32.exe"

Al siguiente inicio del equipo, el gusano modifica la configuración del Internet Explorer en la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page]

Infecta a los contactos del Yahoo Messenger en caso el usuario se conecte al mismo.

Para dehabilitar el Adminstrador de Barra de Tareas crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para dehabilitar el Editor de Registros crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

Para dehabilitar el Explorador de Windows crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "1

Para desactivar la Página de Inicio del Internet Explorer crea la sub-llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"

Agrega entradas a las siguientes generadas llaves de registro:

[HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
[HKCU\Software\Yahoo\pager\View\YMSGR_buzz]

PER ANTIVIRUS® versión 10.3 con registro de virus al 17 de Diciembre del 2007 detecta y elimina este gusano.