W32/Spybot.ATZN
Imprimir descripción de Virus
Nombre: W32/Spybot.ATZN
Alias: W32.Spybot.ATZN
Tipo: Gusano
Tamaño: 38,912 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 31/08/2007.

Descripción:

W32/Spybot.ATZN, gusano que una vez ejecutado crea un mutex llamado "Aj8USjso".

Cuando el gusano se ejecuta se copia a si mismo dentro de:

Nota:

- %windows% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).

 

El gusano registra el archivo svchost32.exe como un Servicio llamado "SvcHost32" que se inicia de forma automática.

 

Crea la siguiente entrada en el registro:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\
"windowsless" = "[PATH TO WORM]

 

Además modifica las siguientes entradas en el registro para deshabilitar DCOM, prevenir enumeraciones Nulas, y deshabilitar Windows XP Service Pack 2:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
"EnableDCOM" = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
"restrictanonymous" = "1"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
"DoNotAllowXPSP2" = "1"

 

El gusano modifica las siguientes entradas en el registro para disminuir el nivel de seguridad:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
"EnableFirewall" = "0"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
"EnableFirewall" = "0"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
"AntivirusDisableNotify" = "1"

"AntiVirusOverride" = "1"
"FirewallDisableNotify" = "1"

"FirewallOverride" = "1"

 

También modifica las siguientes entradas de registro para deshabilitar el inicio automático de algunos servicios:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\
"Start" = "4"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\
"Start" = "4"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\
"Start" = "4"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\
"Start" = "4"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\
"AutoShareServer" = "0"

"AutoShareWks" = "0"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\
"AutoShareServer" = "0"

"AutoShareWks" = "0"

 

Finalmente el gusano logra abrir el puerto 22777 para recibir comandos de ataque desde un servidor IRC en "te.arrancar.org".

El gusano puede realizar cualquiera de las siguientes acciones:
 

  • Copiar o borrar archivos.
  • Descargar archivos.
  • Mostrar el estado de la computadora.
  • Mostrar las direcciones IP.
  • Realizar escaneo de puertos a computadores vulnerables.
  • Iniciar el servicio ftpd.
  • Finalizar procesos.
  • Listar procesos.

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú