W32/Stemclover
Imprimir descripción de Virus
Nombre: W32/Stemclover
Alias: W32.Stemclover
Tipo: Gusano
Tamaño: 793,008 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 06/10/2007.

Descripción:

W32/Stemclover, gusano que una vez ejecutado se copia a sí mismo:

  • %windir%\system23\aniee.exe
  • %system%\hanny.exe

Nota:

- %windir% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).

- %system% representa la carpeta de Sistena (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).

 

Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"winsystem" = "C:\WINDOWS\system23\aniee.exe"

HKEY_USERS\S-1-5-21-220523388-1844823847-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run
"Microfost" = "C:\WINDOWS\system32\hanny.exe"

Luego el gusano crea las siguientes entradas de registro para deshabilitar algunos programas, incluidos los relacionados con seguridad informática:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\ansav.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\ansavgd.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\attrib.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\avguard.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\avscan.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\clamwinportable.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\cmd.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\command.com
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\firefox.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\iexplore.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\msconfig.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\pcmav-cln.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\pcmav-rtp.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\pcmav-se.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\regedit.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\setup.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\showkillprocess.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\taskmgr.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\viremoval.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\winamp.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\winrar.exe
"Debugger" = " "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Image File Execution Options\winzip.exe
"Debugger" = " "

Luego el gusano adiciona las siguientes intrucciones en el archivo "autoexec.bat" para mostrar el mensaje en la ventana de DOS al iniciar windows:
 

@echo off
Cls
Echo Aniee sayang....
Echo.
Echo Semua yang kulakukan hanya untuk kamu
Echo tapi rasa rindu tidak bisa aku sembunyikan
Echo Perasaan ini sudah gak kuat untuk melepaskan kerinduan ini
Echo.
Echo Aku sangat merindukan kehadiran kamu disisiku
Echo.
Echo.
Echo Salam sayang selalu
Pause >nul

Nota: Este mensaje sólo será visualizara en sistemas operativos como: Windows 95, Windows 98 y Windows Me.

 

Además el gusano busca las carpetas compartidas, unidades extraibles y unidades de red para crear una copia de sí mismo:

 

  • [UNIDAD]:\winsys.exe
  • [UNIDAD]:\Dokter Cinta.Jpg.exe

También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad:

 

  • [UNIDAD]:\autorun.inf

Finalmente el gusano copia los siguiente archivos potencialmente peligrosos:

 

  • C:\Tunggul.vbs
  • C:\aniee.txt

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú