| W32/Philis.KL |
|
| Nombre: |
W32/Philis.KL Alias: W32/HLLP.Philis.kl |
| Tipo: | Virus |
| Tamaño: | 95,232 Bytes |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1, Registro de Virus al 15/05/2007. |
Descripción
W32/Philis.KL, es un virus que busca archivos ejecutables en el computador atacado para infectarlos con su código viral, además descarga archivos desde sitios Web remotos.
Cuando el gusano se ejecuta se copia a sí mismo dentro de:
También copia el siguiente archivo dentro de:
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
También modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Load"="%windows%\uninstall\rundl132.exe"
También crea las siguientes entradas en el registro
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\"auto"="1"
Seguidamente finaliza los siguientes procesos relacionados a programas de seguridad
Seguidamente une a su componente "RichDll.dll" dentro de los procesos del "iexplore.exe" y "explorer.exe", este componente captura información del juego en linea llamado "LINEAGE", además intentará descargar archivos troyanos desde el siguiente sitio "pu.puma163.com", dichos archivos son detectados y eliminados por The Hacker 6.1
Finalmente el gusano realiza las siguientes acciones:
Envía paquetes ICMP a Pc que se encuentren activas en la Red y queda a la espera de una respuesta, si obtiene una respuesta intenta accesar a las carpetas ADMIN$, IPC$ o alguna carpeta compartida.
Crea el archivo "_desktop.ini" en las carpetas donde encontró los archivos ejecutables, dicho archivo tiene atributos de Oculto y de sistema, este contiene la fecha en que se ejecuto el gusano.
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú