| W32/Mubla.A |
|
| Nombre: | W32/Mubla.A Alias: W32.Mubla |
| Tipo: | Gusano |
| Tamaño: | 479,232 Bytes |
| Origen: | Desconocido |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 con registro de virus al 01/06/2007. |
Descripción
W32/Mubla.A, es un gusano que se difunde a través del MSN Messenger y abre puertos en el computador atacado.
Cuando el gusano se ejecuta se copia a si mismo como:
Nota:
- %windows%, representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
- %system%, representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea la siguiente entrada en el registro para poder ejecutarse:
HKEY_CLASSES_ROOT\CLSID\{063D385B-25DB-41C3-80C3-6ADC5DE65B2E}\InProcServer32
"[Predeterminado]"="%system%\syshosts.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"syshosts"="{063D385B-25DB-41C3-80C3-6ADC5DE65B2E}"
Seguidamente intenta conectarse a un canal IRC en el dominio [www.free8.biz] y abrir puertos para permitir a un atacante realizar descarga de archivos y robo de contraseñas en el computador atacado.
Finalmente el gusano se difunde a través del MSN Messenger intentando descargar un archivo de nombre "photosalbum-2007-5-26.scr", los mensajes que utiliza en el Messenger son los siguientes:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú