| W32/Motsys |
 |
| Nombre: |
W32/Motsys Alias: W32.Motsys |
| Tipo: | Worm |
| Tamaño: | 29,696 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 14/11/2007. |
Descripción:
W32/Motsys, gusano que al ejecutarse crea los siguientes archivos:
Nota:
- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).
El gusano crea la siguiente entrada de registro para lograr ejecutarse en cada inicio de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"crsss" = "C:\WINDOWS\system32\Systom.exe"
Luego el gusano modifica la siguiente entrada de registro para lograr ocultarse de el Explorador de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = "0"
Luego el gusano crea las siguientes entradas de registro para lograr deshabilitar el Administrador de Tareas de Windows y otras opciones:
HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr" = "1"
HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate
"DisableWindowsUpdateAccess" = "1"
HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "0"
"HideFileExt" = "1"
Además el gusano se conecta a las siguientes direcciones web:
Y el gusano trata de eliminar todos los archivos con la siguiente extensión:
Luego el gusano se copia a sí mismo en las unidades extraíbles con el siguiente nombre:
También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad extraíble:
Finalmente el gusano inserta la siguiente etiqueta <iframe> en los archivos ".htm":
Adicionalmente inserta la etiqueta en los archivos con los siguientes nombres:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú