W32/Jambu.A

W32/Jambu.A

Descripción:

W32/Jambu.A, es un gusano que se difunde a través de envió masivo de e-mail, unidades removibles y mapeadas que encuentre en la red.

Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:

%system%\w32sys.exe
%system%\Flash_8_Player.exe
%system%\6666.com
%system%\Flash Player.exe
%Documents and Settings%\[usuario]\Menú Inicio\Programas\Inicio\Flash Games.exe
%Documents and Settings%\[usuario]\Menú Inicio\Programas\Inicio\[Nombre_Aleatorio].exe

También se copia a si mismo en las unidades compartidas utilizando los siguientes archivos:

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"W32SYS"="%system%\w32sys.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Macromedia 8"="%system%\Flash Player.exe"

También modifica las siguientes entradas

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoFolderOptions"="1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoFind"="1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoRun"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\System

"DisableCMD"="2"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableRegistryTools"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

"Shell"="Explorer.exe %system%\6666.com"

Finalmente el gusano realiza copias de si mismo dentro de todas las unidades removibles que encuentre en el computador atacado

El archivo "Autorun.inf" esta configurado para ejecutar el archivo del gusano después de conectarse la unidad removible en algún computador.