W32/Mancsyn.A

Descripción

W32/Mancsyn.A, es un gusano que se difunde explotando la vulnerabilidad de DCOM RPC, además intenta descargar archivos maliciosos desde sitios Web predeterminados.

Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes:

• C:\Windows\System32\rasman32.exe
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mmedia.exe
• C:\Documents and Settings\Default User\Local Settings\Temp\filex.exe

Luego crea los siguientes mutex de nombre "mtx_cv_cv_v1.3" y "explthrmtx1_xx", los cuales permiten que solo una instancia del gusano se ejecute.

Además modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Default"="C:\Windows\System32\rasman32.exe[caracteres_aleatorios]"

También crea la siguiente entrada en el registro:

HKEY_CURRENT_USER\Software\cvc

"dl"="http://dl01.bashchelik.com/[bloqueado]

El gusano elimina alguna de las siguientes entradas si es que estas existen:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ATI
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Update
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Acrobat Read

También elimina los siguientes archivos que encuentre en el computador atacado:

• C:\Windows\system32\acrmon32.exe
• C:\Windows\system32\acroup.exe
• C:\Windows\system32\acroup32.exe
• C:\Windows\system32\cvrss.exe
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Task Manager.exe
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\taskman.exe

Finalmente el gusano se conecta a los siguientes sitios Web e intentara descargar archivos maliciosos.

• srv02.bashchelik.com
• srv01.debelizombi.com
• srv02.bashchelik.com
• srv01.debelizombi.com
• srv01.bashchelik.com
• dl01.bashchelik.com

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú