| W32/Gammima.AG |
|
| Nombre: |
W32/Gammima.AG Alias: W32.Gammima.AG |
| Tipo: | Gusano |
| Tamaño: | 75,520 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 y 6.2 al 24/08/2007. |
Descripción:
W32/Gammima.AG, gusano que una vez ejecutado crea los siguientes archivos:
%system%\kavo.exe
%system%\kavo0.dll
Nota:
- %system% representa la carpeta de Sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32, C:\WINDOWS\SYSTEM).
Luego el archivo kavo0.dll es enganchado a un proceso en ejecución que permite crear el siguiente archivo que habilita una puerta trasera:
%temp%\[RANDOM].dll
Nota:
- %temp% representa la carpeta de Temporal (Ej. C:\WINDOWS\TEMP).
Luego el gusano se copia a si mismo en todas las unidades (Ej: A:, C:, D:) de la siguiente manera:
[DRIVE]:\ntdelect.com
Ademá crea el siguiente archivo que le permite ser ejecutado cuando se accede a la unidad:
[DRIVE]:\autorun.inf
Seguidamente crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"kava" = "%System%\kavo.exe"
También modifica las siguientes entradas del registro para ocultarse:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "2"
ShowSuperHidden" = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer
"NoDriveTypeAutoRun" = "0x91"
El gusano verifica si ha sido enganchado correctamente a uno de los siguientes procesos:
Finalmente el gusano trata de obtener información
específica de los siguiente juegos on-line:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú