| W32/Looked.BK |
|
| Nombre: |
W32/Looked.BK Alias: W32.Looked.BK |
| Tipo: | Gusano |
| Tamaño: | 55,937 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.0 y 6.1, Registro de Virus al 28/11/2006 |
Descripción
W32/Looked.BK, es un gusano que se difunde a través de la recursos compartidos, infecta archivos ejecutables y finaliza procesos relacionadas a programas de seguridad.
Cuando el gusano se ejecuta se copia a sí mismo con todos sus componentes dentro de:
También copia los siguientes archivos dentro de:
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
También modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Load"="%windows%\uninstall\rundl132.exe"
Seguidamente finaliza los siguientes procesos relacionados a seguridad:
Intenta detener el siguiente servicio relacionado a un programa antivirus de nombre "Kingsoft Antivirus Service"
Además el gusano busca archivos .exe en las unidades desde C: hasta Y: y carpetas compartidas para infectarlas, evitando infectar a las que encuentre dentro de las siguientes ubicaciones:
Finalmente el gusano realiza las siguientes acciones:
Envía paquetes ICMP con el mensaje "Hello,World"
Periódicamente configura el volumen del parlante con el valor Cero, muestra una ventana de dialogo de nombre "AVP.AlertDialog", si se presiona los botones "permitir" o "saltar" (en idioma chino) el gusano baja el volumen del parlante.
Crea el archivo "_desktop.ini" en las carpetas donde encontro los archivos ejecutables, dicho archivo tiene atributos de Oculto y de sistema, este contiene la fecha en que se ejecuto el gusano.
Los archivo infectados incrementan su tamaño en 55,937 Bytes.
Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú