| W32/Scrapkut |
|
| Nombre: |
W32/Scrapkut Alias: W32.Scrapkut |
| Tipo: | Gusano |
| Tamaño: | Variante |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 28/02/2008. |
Descripción:
W32/Scrapkut, gusano que usa un script GreaseMonkey (código que se ejecuta de forma permanente un una página web como una extensión) para enviar un mensaje a toda la lista de contactos. Este mensaje contiene una imagen relacionada con Youtube que es un enlace a la siguiente dirección Web:
NOTA: Estos mensajes se envían a través de la comunidad virtual Orkut.
Esta página indica que necesita descargar un componente (Macromedia Flash Player) para poder visualizar el video. El enlace mostrado para descargar el componente tiene la siguiente dirección Web, que descargará una copia del gusano:
Al finalizar la descarga y después de ejecutarse el gusano mostrara un mensaje en portugués indicando que el componente se ha instalado correctamente.
Luego el gusano trata de descargar archivos potencialmente peligrosos de las siguientes direcciones Web:
Y son almacenados en las siguientes carpetas:
Nota:
- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).
Seguidamente el gusano ejecuta un archivo batch (conjunto de instrucciones) para tratar de finalizar procesos relacionados con productos Antivirus.
Luego ejecuta el siguiente archivo potencialmente peligroso:
Nota:
- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).
También, el gusano, inserta código JavaScript en el proceso del Internet Explorer.
Finalmente el gusano trata de propagarse enviando mensajes a todos los contactos cuando se inicie sesión en la comunidad virtual Orkut en la PC infectada.
Derechos reservados 1992/2008 HackSoft S.R.L. Lima-Perú