| W32/Imaut.AY |
|
| Nombre: |
W32/Imaut.AY Alias: W32/Imaut.AY |
| Tipo: | Gusano |
| Tamaño: | 244,590 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 11/09/2007. |
Descripción:
W32/Imaut.AY, gusano que una vez ejecutado crea los siguientes archivos:
Nota:
- %windows% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).
- %system% representa la carpeta de Sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).
Luego el gusano crea las siguientes entradas de registro para ejecutarse en cada inicio de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe SSCVIHOST.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"%system%\SSCVIHOST.exe"
Además el gusano crea la siguiente entrada de registro que habilita una ubicación compartida en RED en donde crea una copia de si mismo:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares
"shared" = "[SHARE NAME]\New Folder.exe"
Y crea el siguiente archivo para ejecutarse de
forma automática cada vez que se acceda a dicha ubicación compartida:
[SHARE NAME]\autorun.inf
También el gusano modifica las siguientes entradas de registro para deshabilitar el editor del registro, el administrador de tareas y otras características de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NofolderOptions" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
"AtTaskMaxHour"
Luego elimina las siguiente entradas de registro que habilita una ubicación compartida en RED en donde se crea una copia de si mismo:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"BkavFw"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"IEProtection"
Seguidamente cancela todas las tareas programadas y luego se adiciona a si mismo a la lista para que el siguiente archivo sea ejecutado todos los días a las 9:00 a.m.:
Nota:
- %system% representa la carpeta de Sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).
Logrando establecer comunicación con uno de los siguientes sitios para descargar un archivo de configuración:
Y lo guarda en la siguiente ubicación:
Nota:
- %system% representa la carpeta de Sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).
Este archivo contiene la siguiente dirección Web desde donde descarga archivos adicionales:
Luego el gusano busca una ventana de Yahoo messenger para enviar uno de los mensajes de la lista siguiente:
Este mensaje contiene la siguiente dirección web:
El gusano trata de cerrar las siguientes ventanas si es que existen:
Y finaliza los siguientes procesos:
El gusano tratará de apagar la computadora si la ventana siguiente existe:
Finalmente el gusano buscará unidades removibles (USB Flash Memory, etc) para tratar de copiarse con el siguiente nombre:
%DriveLetter%:\New Folder.exe
Y creará el siguiente archivo para ejecutarse de
forma automática cada vez que se acceda a dicha unidad:
[DriveLetter]:\autorun.inf
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú