| W32/Usbwatch |
 |
| Nombre: |
W32/Usbwatch Alias: W32.Usbwatch |
| Tipo: | Gusano |
| Tamaño: | 78,336 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 23/10/2007. |
Descripción:
W32/Usbwatch, gusano que al ejecutarse crea los siguientes archivos:
Nota:
- %userprofile% representa la carpeta del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO).
- %temp% representa la carpeta temporal del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO\CONFIGURACION LOCAL\TEMP).
Luego el gusano crea las siguientes entradas de registro para lograr ocultarse:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden" = "0"
"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun" = "0"
También modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe :
"%CurrentFolder%\wauclt.exe\""
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe : "%CurrentFolder%\wauclt.exe\""
El gusano crea el siguiente mutex logrando ejecutar sólo una instancia del gusano a la vez:
Luego el gusano se copia a sí mismo en las unidades removibles:
También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad:
Finalmente el gusano captura la siguiente información:
Y guarda esta información en los siguientes archivos:
Nota:
- %temp% representa la carpeta temporal del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO\CONFIGURACION LOCAL\TEMP).
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú