W32/Linkfars

W32/Linkfars

Nombre:	W32/Linkfars Alias: W32.Linkfars
Tipo:	Worm
Tamaño:	139,264 bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.2 al 06/11/2007.

Descripción:

W32/Linkfars, gusano que al ejecutarse crea el siguiente archivo:

%temp%\svchost.exe
%programfiles%\Common Files\Microsoft Shared\MSshare.exe
%programfiles%\Sound Utility\Soundmax.exe
%windir%\Web\OfficeUpdate.exe
%programfiles%\XPCode\SexGame.exe
%programfiles%\XPCode\SexScreenSaver.scr
%programfiles%\XPCode\SexGameList.pif

Nota:

- %temp% representa la carpeta de de uso temporal del Usuario (Ej. C:\Documents and Settings\Usuario\Configuración local\Temp).

- %programfiles% representa la carpeta de instalación de los Programas (Ej. C:\Archivos de programa).

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

El gusano crea la siguiente entrada de registro logrando ejecutarse en cada inicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Soundmax" = "%ProgramFiles%\Sound Utility\Soundmax.exe"

También crea el siguiente mutex que permite ejecutar sólo una instancia del gusano a la vez:

b542345.

Luego el gusano crea el siguiente archivo:

%ProgramFiles%\XPCode\Games.lnk

Nota:

- %programfiles% representa la carpeta de instalación de los Programas (Ej. C:\Archivos de programa).

El gusano crea una copia de sí mismo en las unidades extraíbles:

[UNIDAD]:\oyo.exe

También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad extraíble:

[UNIDAD]:\autorun.inf

Seguidamente el gusano busca las siguientes carpetas:

Kazaa Lite\My Shared Folder
Kazaa\My Shared Folder
Edonkey2000\Incoming
Icq\Shared Files
emule\incoming
Gnucleus\Downloads\Incoming
KMD\My Shared Folder
Limewire\Shared
Inetpub\ftproot

En donde se copiará a sí mismo con los siguientes nombres:

Sex_ScreenSaver.scr
Sex_Game.exe

El gusano crea el siguiente acceso directo al archivo "%Windir%\Web\OfficeUpdate.exe":

C:\Document and Settings\All Users\Start Menu\Programs\Startup\Office Update.lnk

También el gusano reemplaza los siguientes accesos directos y direccionandolos a "%ProgramFiles%\Common Files\Microsoft Shared\MSshare.exe":

C:\Document and Settings\All Users\Start Menu\Programs\Accessories\Paint.lnk
C:\Document and Settings\All Users\Start Menu\Programs\Accessories\Calulator.lnk

Busca en las carpetas compartidas de la Red archivos con las siguientes extensiones

.exe
.mp3
.jpg

Luego procede a crear accesos directos con los nombres de los archivos y direccinandolos al archivo "zfile.exe"

Crea tareas programadas que ejecutan el programa "%Windir%\Web\OfficeUpdate.exe" para las siguientes horas:

Every day 11:30
Every day 20:30

El gusano modifica las siguientes entradas de registro logrando ocultar archivos de el Explorador de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "2"
"HideFileExt" = "2"
"ShowSuperHidden" = "2"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"Nofolderoptions" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
"Nofolderoptions" = "1"

También el gusano modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
"DisableConfig" = "1"
"DisableSR" = "1"

Luego elimina las siguentes entradas de registro:

HKEY_CLASSES_ROOT\lnkfile
"IsShortCut"

HKEY_CLASSES_ROOT\piffile
"IsShortCut"

HKEY_CLASSES_ROOT\InternetShortcut
"IsShortCut"

El gusano verifica si existe el archivo "%Windir%\System32\kbdfa.dll" y crea la siguiente entrada de registro:

HKEY_CURRENT_USER\Software\Wintek
"Install" = "[INFECTION TIME]"

Finalmente el gusano trata de crear los siguientes archivos:

%userprofile%\Escritorio\Important.htm
%userprofile%\mis documentos\Important.htm

Nota:

- %userprofile% representa la carpeta del perfíl del Usuario (Ej. C:\Documents and Settings\Usuario).

Estos archivos contienen el siguiente texto:

S A L A M - D O S T E - M A N