W32/Imaut.A

Descripción

W32/Imaut.A, es un gusano que s difunde a través del Yahoo Messenger, descarga y ejecuta archivos, finaliza procesos, modifica las configuraciones del Internet Explorer y configuraciones de seguridad del computador atacado.

Cuando el gusano se ejecuta se copia a si mismo como:

• %windows%\svhost32.exe

Además modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Task Manager"="%windows%\svhost32.exe"

También modifica las siguientes entradas para deshabilitar el Administrador de Tareas y Editor de Registro de Windows

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableRegistryTools"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableTaskMgr"="1"

Modifica la siguiente entrada para evitar que se cambie manualmente la configuración de la página de Inicio del Internet Explorer

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Homepage"="1"

Configura la página de Inicio del Internet Explorer y Yahoo Messenger

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

"Start Page"="http://concerto4.net/[xxxxxxxxx]"

HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz

"content url"="http://concerto4.net/[xxxxxxxx]"

Utiliza Yahoo Messenger para difundirse a otras Computadoras, envía los siguientes mensajes con un enlace, dicho enlace descarga una copia del gusano.

• have you ever seen such a silly man like this? [enlace]
• making money online never be easier : [enlace]
• damn, she is so cute [enlace]
• to only way to clean some online viruses that may lead you into troubles : [enlace]
• Now you can avoid some critical online viruses by updating Windows. Click here to know how to Update Windows : [enlace]
• A new dangerous computer virus that can destroys all your data has just been released. Click here to know how to avoid it : [enlace]
• Download free MP3s : [enlace]
• Just check out my new personal website : [enlace]
• You are virus infected . Use this tool to remove viruses from your PC : [enlace]
• wtf is this? wanna give me a shit ? [enlace]
• Let's vote for Vietnam's beauty - Mai Phuong Thuy - for the upcoming Miss World competition : [enlace]
• check this link for me : [enlace]

Donde: [enlace], es el siguiente http://concerto4.net/?id= [texto_aleatorio]

Finalmente el gusano termina los siguientes procesos, algunas pertenecientes a aplicaciones de seguridad.

• Anti-Trojan.exe
• ANTS.exe
• apvxdwin.exe
• ATCON.exe
• ATUPDATER.exe
• ATWATCH.exe
• AUPDATE.exe
• AUTODOWN.exe
• AUTOTRACE.exe
• AUTOUPDATE.exe
• Avconsol.exe
• AVP.exe
• AVP32.exe
• avpcc.exe
• avpm.exe
• AVPUPD.exe
• Avsynmgr.exe
• AVWUPD32.exe
• AVXQUAR.exe
• bdmcon.exe
• bdnews.exe
• bdoesrv.exe
• bdss.exe
• bkav2006.exe
• Bkav2006.exe
• CMGrdian.exe
• drwebupw.exe
• GUARD.exe
• iamapp.exe
• iamserv.exe
• ICLOAD95.exe
• ICLOADNT.exe
• ICMON.exe
• ICSSUPPNT.exe
• ICSUPP95.exe
• ICSUPPNT.exe
• LUCOMSERVER.exe
• MCAGENT.exe
• mcupdate.exe
• MINILOG.exe
• MOOLIVE.exe
• NAVAPW32.exe
• NMAIN.exe
• NPROTECT.exe
• NSCHED32.exe
• NUPGRADE.exe
• regedit.exe
• regedt32.exe
• rtvscan.exe
• RuLaunch.exe
• svhost32.exe
• Vshwin32.exe
• vsserv.exe
• VsStat.exe
• zatutor.exe
• zonealarm.exe

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú