W32/Focelto.A
Imprimir descripción de Virus
Nombre: W32/Focelto.A
Alias: W32.Focelto.A
Tipo: Gusano
Tamaño: 119,976 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 20/09/2007.

Descripción:

W32/Focelto.A, gusano que una vez ejecutado se copia a si mismo dentro de:

Nota:

- %system% representa la carpeta de sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).

 

Luego crea la siguiente entrada de registro para ejecutarse en cada inicio de Windows:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[RANDOM CLSID]}
"stubpath" = "%System%\dllcache\sygate.exe s"

 

El gusano crea las siguientes llaves de registro:

 

  • HKEY_LOCAL_MACHINE\Software\Sygate
  • HKEY_CURRENT_USER\Software\Sygate

También crea los siguientes archivos que son componentes Rootkit (Técnica de ocultamiento) usados para ocultar procesos y archivos:

 

  • %System%\oddysee.exe
  • %System%\ntoskrnl.exe:kernel

Nota:

- El archivo ":kernel" es un Stream dentro del archivo "ntoskrnl.exe" el cual no es modificado por el virus. Los Streams sólo se pueden crear en particiones NTFS.

 

El gusano crea la siguiente llave de registro para instalar un servicio relacionado con el componentes Rootkit (Técnica de ocultamiento):

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Oddysee

 

El componente Rootkit (Técnica de ocultamiento) es instalado como el siguiente servicio:

 

Diplay Name: "Oddysee"
Image Path: "%System%\ntoskrnl.exe:kernel"
Start: "3"
Type: "1"

 

El Rootkit oculta procesos, archivos y llaves de registro relacionados con el gusano para enlazarse a las siguiente funciones de sistema:

 

  • ZwQuerySystemInformation
  • ZwEnumerateKey
  • ZwEnumerateValueKey

Luego el gusano crea los siguientes procesos en los cuales inserta su código y los oculta usando el componente Rootkit:

 

  • explorer.exe
  • iexplore.exe

Crea los siguiente archivos en blanco para almacenar la información robada:

 

  • %Userprofile%\rgst152.dat
  • %Userprofile%\Application Data\addon.dat
  • %System%\dllcache\klog.dat

Luego crea los siguientes archivos que descargan al gusano en todas las unidades de la computadora infectada:

 

  • %DriveLetter%\Foto_celular.scr
  • %DriveLetter%\Foto_celular.zip

Finalmente el gusano trata de expandir estos archivos a través de los clientes de mensajería instantánea enviando copias a todos los contactos:

 

Este archivo trata de descargar una copia del gusano de las siguientes direcciones web:

 

  • http://naoadianta1.memebot.com/sexy[REMOVIDO]
  • http://naoadianta2.memebot.com/insta[REMOVIDO]
  • http://naoadianta3.memebot.com/movi[REMOVIDO]

También trata de conectarse a estas ubicaciones remotas:

 

  • http://naoadianta9.no-ip.org
  • http://naoadianta10.no-ip.org

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú