| W32/Agent.BKY |
|
| Nombre: |
W32/Agent.BKY Alias: Trojan-Downloader.Win32.Agent.bky, Trojan-Downloader.W32/Agent.BKY, W32/Fujacks.aa, W32.Fubalca, ANIWorm, PE_FUBALCA.A-O |
| Tipo: | Gusano |
| Tamaño: | 12,800 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 6.1 al 01/04/2007. |
Descripción:
W32/Agent.BKY, es un gusano del tipo downloader, el gusano infecta archivos ".html" y ".php", además se difunde a través de unidades de almacenamiento USB.
Cuando el gusano se ejecuta crea los siguientes archivos
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%system%\sysload3.exe"
Seguidamente el gusano une sus procesos dentro de los procesos del "notepad.exe" y "IExplore.exe" e intenta descargar un archivo de configuración desde el siguiente sitio:
http://a.2007ip.com
Luego intenta descargar y ejecutar archivos desde la siguiente dirección remota:
http://61.153.247.76/cald/01.[Bloqueada]
También modifica el archivo HOSTS con los siguientes valores:
El gusano infecta archivos con las extensiones .exe, .asp, .jsp, .php, .htm, .aspx, y .html que encuentre en las unidades desde la "A:" hasta la "Z:" con excepción de la unidad donde Windows se encuentra instalado.
Finalmente el gusano se copia a si mismo en la unidad raiz de todas las unidades que encuentre en el computador atacado incluyendo las unidades extraíbles:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú