W32/Kaxela.A
Imprimir descripción de Virus
Nombre: W32/Kaxela.A
Alias: W32.Kaxela.A
Tipo: Gusano
Tamaño: 21,522 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 27/09/2007.

Descripción:

W32/Kaxela.A, gusano que una vez ejecutado crea los siguientes archivos:

  • %system%\[OCHO CARACTERES].DLL
  • %system%\[OCHO CARACTERES].EXE

Nota:

- %system% representa la carpeta de sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).

 

El gusano crea una copia de si mismo en las unidades extraíbles:

 

  • %Drive%\auto.exe

También crea el siguiente archivo para ejecutarse cada vez que se accede a la unidad extraíble:

  • %Drive%\autorun.inf

Luego el gusano crea la siguiente entrada de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
"ReportBootOk" = "1"

Modifica la siguiente entrada de registro logrando cambiar la pagina de inicio del Explorador de Internet:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Start Page" = "http://nba.916kk.com"

Luego el gusano crea la siguiente llave de registro para registrarse como Servicio:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[OCHO CARACTERES]

El gusano borra la siguiente llave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

El gusano descarga un archivo de configuración desde la siguiente ubicación:

Este archivo contiene la siguiente información:

  • Una dirección Web para el modificar la pagina de inicio del Internet Explorer.
  • Una dirección Web desde donde el gusano puede actualizarse.
  • Una dirección Web desde donde el gusano puede descargar archivos potencialmente peligrosos en la computadora infectada.

Finalmente el gusano se conecta con las siguientes direcciones Web:
 

  • [http://]alexa.verynx.cn//alexa.txt
  • [http://]211.100.21.4/info[REMOVIDO]
  • [http://]211.100.21.4/info[REMOVIDO]

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú