| W32/Forinsty |
|
| Nombre: |
W32/Forinsty Alias: W32.Forinsty, Worm.W32/Forinsty@DE |
| Tipo: | Gusano |
| Tamaño: | 271,577 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 28/09/2007. |
Descripción:
W32/Forinsty, gusano que una vez ejecutado crea los siguientes archivos:
Nota:
- %windows% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).
- %system% representa la carpeta del sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).
Luego el gusano crea la siguiente entrada de registro para ejecutarse en cada inicio de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Windows Messenger" = "%Windir%\msmsgs.exe"
El gusano modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters
"ServiceDll" = "%SystemDrive%\System32\ynhqttqd.d1l"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
"ServiceDll" = "%SystemDrive%\System32\ynhqttqd.d1l"
También crea las siguientes subllaves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ynhqttqd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ynhqttqd
El gusano crea una copia de sí mismo en las unidades extraíbles:
También crea el siguiente archivo para lograr ejecutarse cada vez que se accede a la unidad extraíble:
Luego el gusano crea el siguiente identificador para lograr que sólo una instancia a la vez sea ejecutada:
También deja los siguientes archivos potencialmente peligrosos y que son insertados en el proceso "iexplore.exe":
Nota:
- %system% representa la carpeta del sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).
Finalmente el gusano actúa como keylogger capturando información de las teclas presionadas en el archivo:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú