w32.hllw.theug, w32/theug.a
tipo: gusano
tama?o: 36,421 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.5 al 27/10/2003
w32/theug, es un gusano que se difunde a trav?s de la red de intercambio de archivos kazaa, limewire y morpheus.
cuando el gusano se ejecuta se copia a si mismo como:
windows \systask32l.exe
system \ln32k.exe
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt)
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
tambi?n crea el siguiente archivo dentro de:
system \ln32k.dll
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
sysservice321= windows \systask321.exe
hkey_current_user\software\microsoft\windows\currentversion\runonce
sysservice321= windows \systask321.exe
hkey_current_user\software\microsoft\windows\currentversion\runonce
sysservice321= windows \systask321.exe
finalmente el gusano copia varios archivos infectados con su c?digo dentro de:
program files
program files \morpheus\my shared folder
program files \limewire\shared
tambi?n se copia dentro de la carpeta compartida del kazaa. los archivos que copia son los siguientes:
[ebook]sexandthecity_zipped.exe [ebook]thehacker.zipped.exe [ebook]websitedesign_zipped.exe adobe photoshop 6 keygen.exe antivirus 2 eminem - 8 mile screensaver.scr girlfriend.pif jenna pool blowjob scene (rare).avi.pif nero burning rom 5.5 keygen.exe personal firewall pro.exe pornstarpics.jpg.pif quake3arena_keygens_archive.exe stacy valentine blowjob scene (rare).avi.pif stacyvale.pif warcraft3_keygens_archive.exe window blinds key gen.serial.exe windowsxp sp2 installer.exe winzip 8.1 keygen.exe
|
