W32/Xema.A

Descripción:

W32/Xema.A, es un gusano que se difunde a través de unidades removibles, Infecta archivos con extensión .exe y tiene características de Backdoor.

Cuando el gusano se ejecuta crea los siguientes archivos:

• %System%\config\software.chk
• %System%\config\Temporary Internet Files\4A3341585943.iau
• %System%\c_10810.nls
• %System%\c_19460.nls
• %System%\c_20462.nls
• %System%\inter32.dll
• %System%\msregsv.exe
• %System%\serlibk.exe
• %System%\shell64.dll
• %System%\shlmon.exe
• %System%\windfire.exe
• %System%\windfire2.exe

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

También copia los siguientes archivos dentro de:

• [unidad:]\Recycled\deskinf.pif
• [unidad:]\Recycled\desktop.ini
• [unidad:]\Recycled\~INFO2
• [unidad:]\Recycled\~WR00001.doc

Además modifica las siguientes entradas en el registro:

HKEY_CLASSES_ROOT\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32

"Predeterminado"="%system%\shell64.dll"

HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"ShowSuperHidden"="0"

Seguidamente el gusano busca archivos .exe dentro de todas las unidades removibles y los infecta

Finalmente el gusano establece comunicación con el siguiente sitio e intenta descargar archivos dentro del computador atacado:

http://ms.winibmhelp.com/httpdocs/[Bloqueado]/Cmw[Bloqueado]

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú