 |
|
RSS /
/
Amend es un gusano de correo reportado el 22 de Mayo del 2007, residente en memoria, que infecta las unidades de disco fijas y removibles, incluyendo las memorias USB.
Deshabilita varias funciones además de las relacionadas al Explorardor de Windows.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Está desarrollado en Visual C++ con una extensión de 35KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).
El mensaje tiene las siguientes características:
Asunto, uno de los siguientes:
* I love lhw
* My name is lhw
Contenido, uno de los siguientes:
* IT IS YOUR Document THAT YOU WANT? YOU can see it by runing the attachment
* Microsoft Visual Studio is found A LOT BUG! Try to repair by attachments!
* The best important mend of Microsoft ,Please run the mend!!
* You should run the mend at ance,or you will be infected by the most severity virus SOO
Anexados, uno de los siguientes:
* Document.Doc (30.5K)[86_espacios_en_blanco].com
* Microsoft Visual Studio_BuG.ZIP (30.5K)[86_espacios_en_blanco].com
* The best important mend of Microsoft (30.5K)[86_espacios_en_blanco].com
Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,regedit32.com"
copia un falso archivo AUTORUN.INF para ejecutar copias de sí mismo en las unidades de disco a las que pueda conectarse.
crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
"intt" = "%Windir%\[carpeta]\[nombre_aleatorio].com"
para deshabilitar la administración de archivos compartidos crea las llaves:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer" = "1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks" = "1"
Para ocultar el Explorador de Windows crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
para ocultar las extensiones de archivos a través del Explorador de Windows crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al ser activado el gusano se copia a las siguientes rutas, con los nombres:
* %System%\msconfig.exe
* %System%\regedit.exe
* %System%\regedit32.com
* %Windir%\Temp\internat.exe
* %Windir%\Web\kav.exe
* %Windir%\log.ini
revisa la carpetas en uso y se copia como a la misma con el nombre:
[carpeta_en_uso].exe
Libera además los archivos:
* %Windir%\system\[nombre_aleatorio].com
* %Windir%\web\[nombre_aleatorio].com
* %Windir%\fonts\[nombre_aleatorio].com
* %Windir%\temp\[nombre_aleatorio].com
* %Windir%\help\[nombre_aleatorio].com
finalmente el gusano se copia a todas las unidades de disco fijas y removibles como:
[Unidad_de_disco]:\Comand.com
PER ANTIVIRUS® versión 10.1 con registro de virus al 22 de Mayo del 2007 detecta y elimina eficientemente este gusano.
Compartir 
También puede navegar por el contenido de nuestras principales revistas: | |
Nube de Tags
horoscopo juegos musica noticias monografias casino tarot blogs tests interpretación de sueños contactos empleos poker angeles consultorio sexual becas diarios de viajes anime clasificados chistes
