| W32/WowMovs.A |
|
| Nombre: |
W32/WowMovs.A Alias: W32/WowMovs-A |
| Tipo: | Gusano |
| Tamaño: | Variable |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 y 6.2, Registro de Virus al 03/08/2007. |
Descripción
W32/WowMovs.A, es un gusano que se difunde a través de unidades removibles y descarga y ejecuta archivos maliciosos desde Internet.
Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
Nota:
- %system% representa la carpeta System de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM)
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servet wm
"ImagePath"="%system%\servet.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servet wm
"Display Name"="Windows DDE"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servet wm
"Start"="0x00000002"
También registra al archivo "oreans32.sys" como un servicio, creando las siguientes entradas en el registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servet wm
"ImagePath"="%system%\drivers\oreans32.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servet wm
"Display Name"="oreans32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servet wm
"Start"="0x00000002"
Luego modifica las siguientes entradas:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
"SavedLegacySettings"="[Números Binarios]"
Finalmente el gusano intenta copiarse a si mismo en todas las unidades removibles, incluyendo disquetes que encuentre en el computador atacado.
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú