|
W32/Zapinit
Zapinit es un gusano reportado el 09 de Mayo del 2008 que se propaga a través de redes con recusos compartidos, configuradas con contraseñas débiles.Modifica llaves de registro a voluntad. Desestabiliza el sistema e intenta descargar arhivos malwares desde una dirección IP ubicada en los Estados Unidos.
Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con una extensión de 87KB y está encriptado con rutinas propias.
Al ingresar a un sistema se copia a las siguientes rutas:
Tambien libera su componente Backddor en la rutas:
y crea el siguiente archivo bitácora:
%Windir%\sys.log
Para ejecutarse la próxima vez que se re-iicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"pjpInit_Dlls" = "nvrsma"
Y modifica los siguientes archivos que le permiten cambiar determinadas llaves de registro al inicio de Windows:
La llave de registro anterior
es invocada por los archivos modificados user32.dll.
Mientras que los archivos originales user32.dll son copiaos a:
%System%\[Nombre_alatorio_de_archivo]
Para desestabilizar algunas funciones del sistema crea las siguientes llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"st" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"mid" = "[Caracteres_Hexadecimales]"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"dwn" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ccnt" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"nhr" = "1"
y las sub-llaves:
Al siguiente inicio del equipo el gusano se conecta a las siguientes direcciones web intentando descargar arhivos malwares:
Intenta ingresar a las redes con recursos compartidos, usando como nombre de Administrador y de contraseña las siguientes cadenas:
PER ANTIVIRUS® versión X5 con registro de virus al 09 de Abril del 2008 detecta y elimina este gusano.
