W32/Imaut.U
Imprimir descripción de Virus
Nombre: W32/Imaut.U
Alias: W32.Imaut.U, Worm.W32/Imaut.U@IM
Tipo: Gusano de e-mail
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.1, Registro de Virus al 07/01/2007

Descripción

W32/Imaut.U, es un gusano que se difunde a través del Yahoo Messenger, Microsoft Windows Live Messenger y AOL Instant Messenger. El gusano descarga en forma remota archivos que comprometen la computadora, y deshabilita el Administrador de Tareas y el registro de Windows.

Cuando el gusano se ejecuta descarga archivos de las siguientes rutas en internet:

Y guarda los archivos en la siguiente ruta:

Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Adiciona las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Task Manager" = "%Windows%\System\svchost.exe"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Yahoo Messenger" = "%Windows%\System\svchost32.exe"

 

Nota:

- %windows%, representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

 

Modifica las siguientes entradas para deshabilitar el Editor de Registro y el Administrador de Tareas de Windows:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableRegistryTools"="1"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableTaskMgr"="1"

 

Modifica la siguiente entrada para evitar que se cambie manualmente la configuración de la página de Inicio del Internet Explorer

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"Homepage" = "1"

 

Configura la página de Inicio del Internet Explorer y Yahoo Messenger

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

"Start Page" = "http://quicknews.info"

 

HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz

"content url" = "http://quicknews.info" 

 

HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast

"content url" = "http://quicknews.info"

 

El gusano busca las ventanas que contengan el título "Mi Pc" o "Explorador de Windows" para redirigirlas a la siguiente ruta:

 

Finalmente utiliza Yahoo Messenger, Microsoft Windows Live Messenger y AOL Instant Messenger para difundirse a otras Computadoras, envía los siguientes mensajes con un enlace a la lista de contactos, dicho enlace descarga una copia del gusano.

 

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú