W32/Dronzho
Imprimir descripción de Virus
Nombre: W32/Dronzho
Alias: W32.Dronzho
Tipo: Worm
Tamaño: 82,432; 65,536; 40,960; 32,768; 22,1184 y 9,842 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 04/12/2007.

Descripción:

W32/Dronzho, gusano que al ejecutarse crea los siguientes archivos:

  • [CARPETA_ACTUAL]\HELP.EXE
  • [CARPETA_ACTUAL]\1.DAT
  • [CARPETA_ACTUAL]\2.DAT
  • [CARPETA_ACTUAL]\3.DAT
  • [CARPETA_ACTUAL]4.DAT
  • [CARPETA_ACTUAL]\11.DAT (versión en Chino del Blok de Notas)
  • [CARPETA_ACTUAL]\12.DAT

Nota:

- [CARPETA_ACTUAL] representa la carpeta desde donde se ejecuta el gusano.

 

El gusano copia los siguientes archivos:

%Windir%\System32\userinit.exe a %Windir%\System32\dllcache\c_20911.nls

%Windir%\System32\calc.exe a %Windir%\System32\dllcache\c_20218.nls

%Windir%\System32\notepad.exe a %Windir%\System32\dllcache\c_20601.nls

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Luego desempaqueta los siguientes archivos que se encuentran en los archivos .DAT para reemplazar los originales:

  • %windir%\System32\calc.exe
  • %windir%\System32\\mspw.dll
  • %windir%\System32\\notepad.exe (versión en Chino del Blok de Notas)
  • %windir%\System32\\dllcache\c_20718.nls
  • %windir%\System32\\dllcache\c_20819.nls
  • %windir%\System32\\dllcache\c_20921.nls
  • %windir%\System32\\dllcache\c_20996.nls

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Además, el gusano reemplaza el siguiente archivo por una copia de sí mismo para ejecutarse en cada Inicio de Sesión:

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Seguidamente el gusano inserta codigo en el siguiente proceso para lograr capturar las teclas que son digitadas:

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Luego el gusano crea los siguientes archivos:

  • %windir%\svchost.exe
  • %windir%\userinit.exe
  • %windir%\mshelp.dll

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

El gusano se copia a sí mismo en las unidades extraíbles con el siguiente nombre:

  •  [UNIDAD]:\Help.exe

También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad extraíble:

  •  [UNIDAD]:\AutoRun.inf

Finalmente el gusano trata de enviar una copia de sí mismo, a través de correo electrónico, a toda la lista de contactos:

Adicionalmente elimina los siguientes archivos:

  • %windir%\userinit.exe
  • %windir%\svchost.exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú