| W32/Philis.KC |
|
| Nombre: |
W32/Philis.KC Alias: W32/HLLP.Philis.kc |
| Tipo: | Virus |
| Tamaño: | 71,282 Bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1, Registro de Virus al 04/05/2007. |
Descripción
W32/Philis.KC, es un virus que busca archivos ejecutables en el computador atacado para infectarlos con su código viral, además copia un componente troyano que roba contraseñas.
Cuando el gusano se ejecuta se copia a sí mismo dentro de:
También copia el siguiente archivo dentro de:
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
También modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Load"="%windows%\uninstall\rundl132.exe"
También crea las siguientes entradas en el registro
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\"auto"="1"
Seguidamente finaliza los siguientes procesos relacionados a programas de seguridad
Seguidamente une a su componente "RichDll.dll" dentro de los procesos del "iexplore.exe" y "explorer.exe", este componente intentará descargar otros archivos desde el siguiente sitio "www.69642.cn"
Finalmente el gusano realiza las siguientes acciones:
Envía paquetes ICMP con el mensaje "Hello,World"
Crea el archivo "_desktop.ini" en las carpetas donde encontró los archivos ejecutables, dicho archivo tiene atributos de Oculto y de sistema, este contiene la fecha en que se ejecuto el gusano.
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú