w32/small.ewy

W32/Small.ewy

Nombre:	W32/Small.ewy Alias: Trojan-Downloader.Win32.Small.ewy, W32/Whybo.worm, WORM_AGENT.XLO, W32.Whybo.U
Tipo:	Gusano Troyano
Tamaño:	14,689 Bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 y 6.2 al 29/07/2007.

Descripción:

W32/Small.ewy, es un gusano con características de Troyano Downloader, se difunde a través de unidades removibles y carpetas compartidas en la red local.

Cuando el troyano se ejecuta se copia a si mismo como:

%system%\internt.exe
%system%\progmon.exe
%system%\ime\svchost.exe

También copia los siguientes archivos en todas las unidades removible y unidades mapeadas en la red.

[Unidad]:\setup.exe
[Unidad]:\AutoRun.inf

Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Internt"="%system%\internt.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Program file"="%system%\progmon.exe"

El gusano crea el siguiente servicio para poder ejecutarse en cada inicio del sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+

"ImagePath"="%system%\IME\svchost.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+

"DisplayName"="Alerter COM+"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+

"Start"="0X00000002"

Finalmente el gusano intenta difundirse a través de unidades compartidas en la red, utiliza los siguientes nombres de usuarios y contraseñas para ganar acceso en el recurso.

Usuario

administrator
admin
guest
alex
home
love
xp
user
game
123
movie
time
yeah
money
hack

Contraseña

NULL
password
123456
qwerty
abc123
memory
home
12345678
love
xp
88888
5201314
1314520
asdfgh
alex
angel
123
asdf
baby
whoami
movie

Si logra conectarse, el gusano intentara descargar una copia de si mismo desde el siguiente sitio

http://w.dzy520.com