| W32/Zhelatin.CQ |
|
| Nombre: |
W32/Zhelatin.CQ Alias: Email-Worm.Win32.Zhelatin.cq, W32.Mixor.AR, W32/Dref-AF, TR/Small.DBY.BS, W32/Trojan.ADUB, Trojan.Peed.Gen, Trojan.Small-1604, Trojan.Packed.80, Trojan.Packed.13, W32/Tibs.LO@mm, Win32/Nuwar.gen |
| Tipo: | Gusano |
| Tamaño: | 51,342 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 6.1 al 08/04/2007. |
Descripción:
W32/Zhelatin.CQ, es un gusano que llega como archivo adjunto en un mensaje del tipo SPAM e intenta descargar otros archivos maliciosos en el computador atacado, además se difunde a través de recursos compartidos y vía correo electrónico.
Características del Mensaje de Email:
Asunto: [Variable, uno de los siguientes]
Archivo Adjunto: [Variable uno de los siguientes]
----------------------------
Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
También copia los siguientes archivos
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Seguidamente crea un mutex de nombre "klllekkdkkd", el cual permite que solo una instancia del gusano se ejecute.
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
"ImagePath"="%system%\wincom32.sys"
También modifica la siguiente entrada en el registro para deshabilitar el Firewall de Windows y el ICS (Internet Connection Sharing)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start"="4"
Finalmente el gusano finaliza los siguientes procesos, los cuales están relacionados a programas Antivirus y Seguridad
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú