W32/Levona.E
Imprimir descripción de Virus
Nombre: W32/Levona.E
Alias: W32/Levona-D, Email-Worm.Win32.Levona.e
Tipo: Gusano
Tamaño: Variable
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.1 al 15/01/2007.

Descripción:

W32/Levona.E, es un gusano que se difunde a través de e-mail, unidades removibles y recursos compartidos en la Red

Cuando el gusano se ejecuta se copia a sí mismo dentro de las siguientes ubicaciones como:

Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Emira"="%System%\Emma.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Renova"="%System%\Renova.exe"

Seguidamente modifica algunas entradas en el registro para poder ejecutar el archivo "_Emma.exe" en cada inicio del sistema

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell"="explorer.exe %Program Files%\_Emma.exe"

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Userinit"="explorer.exe %Program Files%\_Emma.exe"

Crea la siguiente entrada en el registro para poder ejecutarse en Modo Seguro

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

"AlternateShell"="%System%\Renova.exe"

 

También modifica las siguientes entradas para deshabilitar la restauración del sistema

 

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore

"DisableConfig"="1"

 

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore

"DisableSR"="1"

 

Luego modifica las siguientes entradas en el registro

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoSaveSettings"="0"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoFolderOptions"="1"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoFind"="1"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoRun"="0"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

"NoControlPanel"="0"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

"NoFolderOptions"="1"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

"NoControlPanel"="0"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

"NoFind"="1"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

"NoRun"="0"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableRegistryTools"="0"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisabletaskMgr"="0"

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

"DisableCMD"="0"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"Hidden"="2"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"HideFileExt"="1"

 

El gusano busca unidades removibles en el computador atacado, si encuentra alguna se copia a si mismo como "Emma.scr"

 

Finalmente el gusano busca en la barra de títulos de Windows las siguientes palabras o frases que relacionen a los siguientes programas de seguridad para intentar deshabilitarlos, finalizarlos o minimizarlos

 

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú