W32/Proyo
Imprimir descripción de Virus
Nombre: W32/Proyo
Alias: W32.Proyo
Tipo: Worm
Tamaño: 45,056
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 03/11/2007.

Descripción:

W32/Proyo, gusano que al ejecutarse crea el siguiente archivo:

  • %windir%\system32\oyo.exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

El gusano modifica la siguiente entrada de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ARCHIVO]
"Debugger" = "0"

Donde [ARCHIVO] representa uno de la lista siguiente:

  • 360tray.exe
  • 360Safe.exe
  • 360Safe.com
  • avp.com
  • avp.exe
  • CCenter.exe
  • msconfig.exe
  • IceSword.exe
  • IceSword.com
  • rav.exe
  • RavMon.exe
  • RavMonD.exe
  • RavTask.exe
  • runiep.exe
  • nod32.exe
  • nod32krn.exe
  • KWatch.exe
  • KVScan.kxp
  • KAV32.exe
  • KAVPFW.exe
  • MagicSet.exe
  • nod32kui.exe

También el gusano modifica la siguiente entrada de registro que deshabilita la opción de ver todos los archivos con el Explorador de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = "0"

Luego el gusano elimina la siguiente subllave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

El gusano busca archivos con la extensión ".exe" y ".scr" para introducir codigo malicioso en ellos. Percibiendo un crecimiento de 45,056 bytes en estos archivos.

El gusano evita infectar archivos en las carpetas que contengan alguna de las siguientes palabras:

  • WINDOWS
  • WINNT
  • COMMON FILES

Finalmente el gusano crea una copia de sí mismo en las unidades extraíbles:

  •  [UNIDAD]:\oyo.exe

También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad extraíble:

  •  [UNIDAD]:\autorun.inf

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú