| VBS/Solow.A |
|
| Nombre: | VBS/Solow.A Alias: VBS/Small.autorun, Worm.VBS.Solow.a, Worm.VBS.Solow.A, VBS/Solow-D, VBS/IETitle.C, Worm.Solow.a, Worm.Solow-1, VBS.Generic.544, VBS/Slogod.A, VBS/RESULOWS.A, VBS/IE-Title, VBS/Butsur.B, VBS/Solow.B, VBS/Sasan.A.worm, Trojan.VBS.Butsur.A#2, Script.IETitle.C |
| Tipo: | Gusano |
| Tamaño: | 3,754 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 al 01/05/2007 |
Descripción:
VBS/Solow.A, es un gusano que se difunde a través de unidades removibles, cambia las configuraciones de la barra de titulo del Internet Explorer.
Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
Nota.- Los archivos tienen atributos de oculto.
Seguidamente el gusano crea una entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MS32DLL"="%windows%\MS32DLL.dll.vbs"
También modifica las siguientes entradas:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main
"Windows Title"="Hacked by Godzilla"
Finalmente el gusano intentará copiarse a si mismo dentro de todas las unidades removibles que encuentre en el computador atacado. Utiliza los archivos "MS32DLL.dll.vbs" y "autorun.inf". El archivo "autorun.inf" tiene la siguiente configuración para poder ejecutar al gusano cada vez que la unidad infectada sea accesada.
[autorun]
shellexecute=wscript.exe MS32DLL.dll.vbs
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú