| Nombre: |
W32/Solow
Alias:
W32.Solow |
| Tipo: |
Gusano |
| Tamaño: |
90,112 bytes |
| Origen: |
Internet |
| Destructivo: |
SI |
| En
la calle (in the wild): |
SI |
| Detección
y eliminación: |
The
Hacker 6.1, Registro de Virus al 02/04/2007. |
Descripción
W32/Solow, es un gusano que se difunde a través de carpetas
compartidas y unidades extraíbles que encuentre en el computador atacado.
Cuando el gusano se ejecuta se copia a sí mismo como:
- %windows%\pchealth\helpctr\binaries\msconfig.exe
- %windows%\regedit.exe
- %system%\cmd.exe
- %system%\systeminit.exe
- %system%\taskmgr.exe
- %system%\wininit.exe
- %system%\winsystem.exe
También se copia a si mismo dentro de unidades
removibles que encuentre en el computador atacado, utilizando los siguientes
archivos "kerneldrive.exe" y "autorun.inf"
Nota:
- %system% representa la carpeta "system"
dentro de Windows (Ej. C:\WINDOWS\SYSTEM,
C:\WINNT\SYSTEM32).
Además crea las siguientes entradas del registro
para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"wininit"="%system%\wininit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
"Userinit"="%system%\systeminit.exe"
También modifica las siguientes entradas:
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title"="Hacked
by 1BYTE"
- HKEY_CURRENT_USER\Software\Microsoft\"nFlag"="[Numero de Veces que se ha
ejecutado el Script]"
- HKEY_CURRENT_USER\Software\Microsoft\"ServicePack"="1.2"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"SearchHidden"="0"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"SeachSystemDirs"="0"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun"="0"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions"="1"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"="1"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HildeFileExt"="1"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"="0"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden"="1"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start"="1"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions"="1"
Seguidamente el gusano intenta eliminar archivos críticos del sistema:
- %systemDrive%\boot.ini
- %systemDrive%\IO.SYS
- %systemDrive%\MSDOS.SYS
- %systemDrive%\NTDETECT.COM
- %systemDrive%\ntldr
Finalmente el gusano elimina todos los archivos y carpetas que encuentre en
todas las unidades, con excepción de las siguientes:
- %windows%
- %ProgramFiles%
- %systemDrive%\Documents and Settings
Derechos reservados
1992/2007 HackSoft S.R.L. Lima-Perú
