| W32/Kibtos |
|
| Nombre: | W32/Kibtos Alias: W32.Kibtos |
| Tipo: | Gusano |
| Tamaño: | 286,720 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 y 6.2 al 02/08/2007. |
Descripción:
W32/Kibtos, es un gusano que se difunde a través de unidades removibles y carpetas compartidas en la red
Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
%windows%\csrss.exe
%windows%\Autorun.inf
%system%\drivers\intel.exe
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe %windows%\csrss.exe"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
"AlternatShell"="%system%\drivers\intel.exe"
El gusano cambia las siguientes configuraciones para deshabilitar el "Administrador de Tareas", "Editor de Registro" y "Opciones de Carpeta"
Seguidamente el gusano intenta copiarse en unidades removibles que encuentre en el computador atacado, utiliza los siguientes archivos
[unidad]:\camp.exe
[unidad]:\autorun.inf
Finalmente termina procesos que en su nombre tengan los siguientes textos:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú