| W32/Scrimge.A |
|
| Nombre: |
W32/Scrimge.A Alias: W32.Scrimge.A, WORM_SDBOT.EXT, W32/Imagine-A |
| Tipo: | Gusano |
| Tamaño: | 27, 136 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 y 6.2 al 07/08/2007. |
Descripción:
W32/Scrimge.A, gusano que una vez ejecutado crea un mutex llamado "JFAngaY".
Cuando el gusano se ejecuta se copia a si mismo dentro de:
%windows%\svchost.exe
Nota:
- %windows% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).
Para el servicio del "Centro de Seguridad" (Security Center) y el "winvnc4".
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Genuine Logon"="svchost.exe"
También crea una copia de si mismo empaquetada en:
%windows%\img1756.zip
Finalmente el gusano se conecta a
vpn.basecore.info por el puerto 1863 para recibir comandos de ataque. El gusano
puede realizar cualquiera de las siguientes acciones:
* Se actualiza a si mismo.
* Descarga archivos adicionales.
* Se difunde por el MSN Messenger.
* Se borra a si mismo.
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú