W32/Gnil.A

Descripción:

W32/Gnil.A, es un Virus con características de gusano que se difunde a través de envió masivo de e-mail e infecta archivos ".exe" y ".scr" que encuentre en el computador atacado.

Cuando el gusano se ejecuta se copia a si mismo como:

• %system%\[nombre_aleatorio].exe
• %system%\[nombre_aleatorio].dll

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Además modifica la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{21LYYSYS-9421-2126-L2Y1-L2Y1Y1S3Y1S4}
"StubPath"="%system%\[nombre_aleatorio].exe"

Luego une sus procesos dentro de los procesos del "Explorer.exe", "Services.exe" y "Winlogon.exe"

Seguidamente busca archivos con extensiones ".exe" y ".scr" en todo el computador atacado y los infecta, excepto a los archivos que se encuentren dentro de las siguientes carpetas, el archivo ejecutable incrementara en un tamaño de 80,384 Bytes:

• ComPlus Applications
• Common Files
• Delphi
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Movie Maker
• NetMeeting
• Online Services
• Outlook Express
• RECYCLER
• System Volume Information
• System32
• Temp
• WINNT
• WIndows Media Player
• WIndows NT
• WinRAR
• Windows

Seguidamente el gusano creara una entrada que se hace referencia a un determinado dominio [www.lovesa.info] dentro de todos los archivos que tengan las siguientes extensiones:

• .asa
• .asp
• .aspx
• .bat
• .cdx
• .cer
• .css
• .htm
• .html
• .inc
• .jsp
• .php

Finalmente utiliza una relación de usuarios y contraseñas para intentar copiarse a si mismo en todos las unidades compartidas que encuentre en la Red Local.

• 000000
• 00000000
• 1
• 110
• 111
• 111111
• 11111111
• 12
• 120
• 121212
• 123
• 123123
• 123321
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234qwer
• 123abc
• 123asd
• 123qwe
• 2000
• 2004
• 2005
• 2006
• 2007
• 2008
• 2k
• 321
• 4321
• 5021314
• 520
• 5201314
• 520520
• 54321
• 654321
• 88888
• 88888888
• 999999
• Admin
• Administrator
• Password
• Root
• abc
• abc123
• abcd
• abcd123
• admin
• admin123
• administrator
• adsl
• asdf
• asdf123
• bye
• byebye
• cctv
• china
• computer
• data
• database
• date
• enable
• foobar
• fuck
• fuckyou
• ghost
• god
• godblessyou
• goodbye
• guest
• guest123
• guest321
• hao123
• happy
• home
• ihavenopass
• iloveyou
• internet
• japan
• kaonima
• live
• login
• love
• loveyou
• mylove
• mypass
• mypass123
• no
• oracle
• pass
• passwd
• password
• pwd
• qq
• qwer
• root
• sa
• server
• sex
• super
• sybase
• temp
• temp123
• test
• test123
• user
• users
• wangba
• window
• windows
• windows2000
• windows2003
• windowsxp.
• xp
• xxx
• yxcv
• zxcv

Si logra accesar a las carpetas compartidas, el gusano se copiara a si mismo utilizando uno de los siguientes archivos:

• FuckJacks.exe
• Logo1_.exe
• Logo_1.exe
• Rundl132.exe
• c0nime.exe
• iexpl0re.exe
• nvscv32.exe
• spoclsv.exe
• svch0st.exe

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú