worm_sytro.a, w32/sytro.worm.a, worm.p2p.sytro.a, win32.hllw.electron.a
tipo: gusano
tama?o: 363,520 bytes, 151,552 bytes (comprimido upx)
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 31/01/2003. descripción:
w32/sytro.a, es un gusano que se difunde a través de la red de intercambio de archivos kazaa, esta escrito en delphi y comprimido con la utilidad upx.
cuando el gusano se ejecuta crea una subcarpeta llamada sysconfig dentro de la carpeta windows en la cual realiza múltiples copias de si mismo con los siguientes nombres:
the neverending story part i full downloader.exe warcraft iii full downloader.exe hitler song full downloader.exe the sun of all fears full downloader.exe crazy taxi full downloader.exe duke nukem manhattan project full downloader.exe industry giant ii full downloader.exe f1 grand pix 4 full downloader.exe star wars ii movie full downloader.exe nero burning rom 5.5.9.3 full downloader.exe además crea una entrada en el registro para evitar futuras infecciones en la misma computadora:
hkey_local_machine\software\positron
propagation via kazaa file-sharing
luego crea otras entradas en el registro para poder compartir la carpeta creada sysconfig con la red de intercambio de archivos kazaa
hkey_current_user\software\kazaa\localcontent
dir n =0 : windows \sysconfig
hkey_current_user\software\kazaa\localcontent
disablesharing=0
el gusano muestra el siguiente mensaje en cada ejecución:
error
qtintf3.dll not found!
|
