| W32/Sohanad.J |
|
| Nombre: |
W32/Sohanad.J Alias: W32/Sohana-J |
| Tipo: | Gusano |
| Tamaño: | Variable |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1, Registro de Virus al 28/01/2007. |
Descripción
W32/Sohanad.J, es un gusano que se difunde a través del Yahoo Messenger, descarga y ejecuta archivos, finaliza procesos, modifica las configuraciones del Internet Explorer y configuraciones de seguridad del computador atacado.
Cuando el gusano se ejecuta se copia a si mismo como:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
Además modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="explorer.exe svichosst.exe"
También modifica las siguientes entradas para deshabilitar el Administrador de Tareas y Editor de Registro de Windows
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"="1"
Configura la página de Inicio del Internet Explorer y Yahoo Messenger en las siguientes entradas del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page"
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz\"content url"
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast\"content url"
Finalmente el gusano utiliza Yahoo Messenger para difundirse a otras Computadoras, envía mensajes con un enlace, dicho enlace descarga una copia del gusano.
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú