| W32/Scrimge.G |
|
| Nombre: |
W32/Scrimge.G Alias: W32.Scrimge.G |
| Tipo: | Gusano |
| Tamaño: | 83,456 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 y 6.2 al 17/08/2007. |
Descripción:
W32/Scrimge.G, gusano que una vez ejecutado crea los siguientes archivos:
%windows%\img8017.zip
%windows%\winhelp.exe
C:\a.bat
Nota:
- %windows% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Help Manager"="winhelp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
"Windows Help Manager"="winhelp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\RunServices
"Windows Help Manager"="winhelp.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"Windows Help Manager"="winhelp.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"Windows Help Manager"="winhelp.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE
"Windows Help Manager"="winhelp.exe"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
"Windows Help Manager"="winhelp.exe"
Luego el gusano se conecta al dominio
cix.basecore.info por el puerto 1863 para recibir comandos de ataque. El gusano
puede realizar cualquiera de las siguientes acciones:
* Permite realiza
un ataque "Denial of Service" (DoS).
* Descarga archivos adicionales.
*
Desactiva la ejecución del gusano hasta el siguiente reinicio o durante 24
horas.
* Se borra a si mismo.
Finalmente el gusano usa los programas de mensajería instantánea (como Windows Live Messenger, MSN Messenger, y Windows Messenger) para enviar una copia de img807.zip a todos los contactos usando los siguientes mensajes:
* Adid you see this?
* look @ this funny picture
* new picture, should I use it?
* cybix told me 2 send this 2 you look at
* Peter, he looks so dumb in this picture
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú