| W32/Mobler.B |
|
| Nombre: |
W32/Mobler.B Alias: W32.Mobler.B@mm, WORM_MOBLER.B, W32/Mobler-B, Worm.Win32.Mobler.b |
| Tipo: | Gusano |
| Tamaño: | 53,248 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 6.0 al 21/10/2006. |
Descripción:
W32/Mobler.B, es un gusano residente en memoria que se copia en las unidades locales y desactiva el "Regedit".
Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
Además crea las siguientes entradas en el registro para poder ejecutarse en
cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
"Run"="%sWindows%\host.exe"
Luego añade los siguientes valores al registro de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden"="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions"="1"
Finalmente se copia asi mismo como nia_ramadani.exe en la raiz de todas las unidades fisicas o removibles.
Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú