W32/Imaut.BH
Imprimir descripción de Virus
Nombre: W32/Imaut.BH
Alias: W32.Imaut.BH
Tipo: Worm
Tamaño: 1,396,988 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 09/11/2007.

Descripción:

W32/Imaut.BH, gusano que al ejecutarse crea el siguiente archivo:

  • %windir%\System32\SVICHOOST.exe
  • %windir%\SVICHOOST.exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

El gusano crea las siguientes entradas de registro para lograr ejecutarse en cada inicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe SVICHOOST.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Yahoo Messengger" = "%Windir%\System32\SVICHOOST.exe"

Luego el gusano modifica las siguientes entradas de registro para lograr deshabilitar el Editor de Registros y el Administrador de Tareas de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"

Además el gusano modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NofolderOptions" = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
"AtTaskMaxHours" = "0"

Y también borra las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BkavFw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\IEProtection

Seguidamente el gusano se conecta a la siguiente dirección Web:

  • http://gaig0isaigon.t35.com

Descargando el siguiente archvivo de configuración:

  • %windir%\System32\setting.ini

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

El gusano busca ventanas del programa Yahoo! Messenger y envia uno de los siguientes mensajes:

  • E may, vao day coi co con nho nay ngon lam
  • Vao day nghe bai nay di ban
  • Vao day nghe bai nay di ban
  • Biet tin gi chua, vao day coi di
  • Trang Web nay coi cung hay, vao coi thu di
  • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?
  • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
  • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...
  • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...
  • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...

Estos mensajes contienen un enlace a la siguiente dirección Web:

  • http://nhatquanglan1.0catch.com

También el gusanos trata de cerrar ventanas que contengan alguna de las siguientes frases:

  • Bkav2006
  • System Configuration
  • Registry
  • Windows Task

Y trara de finalizar los siguientes procesos:

  • cmd.exe
  • game_y.exe

El gusano tratará de apagar la computadora si encuentra una ventana con la siguiente frase:

  • FireLion

Luego el gusano se copia a sí mismo en las unidades extraíbles con el siguiente nombre:

  •  [UNIDAD]:\New Folder.exe

También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad extraíble:

  •  [UNIDAD]:\autorun.inf

Finalmente el gusano establece un comando para ejecutar el siguiente archivo todos los días a las 09:00 horas:

  • %windir%\System32\SVICHOOST.exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú