w32.wintoo.worm, w32/sexer.worm
tipo: gusano
tama?o: 112,496 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.5 al 16/10/2003
w32/wintoo, es un gusano que se difunde a trav?s de e-mails. utiliza la interfase mapi para enviarse a si mismo a todos los contactos de la libreta de direcciones de windows.
caracteristicas del mensaje de email:
asunto: [texto en alfabeto cirilico (idioma ruso)]
cuerpo: [texto en alfabeto cirilico (idioma ruso)]
archivo adjunto: win2drv.exe
-------------------------------
cuando el gusano se ejecuta se copia a si mismo como:
c:\sex.exe
seguidamente crea el archivo sex.bmp en la unidad c:
luego cambia el fondo del escritorio de windows, utilizando el archivo sex.bmp, las palabras de la imagen est?n en el idioma ruso y hacen referencia a la batalla de moscu de 1941.
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
win2drv=nombre original del gusano
tambi?n modifica la siguiente entrada en el registro:
hkey_current_user\control panel\desktop
wallpaper=c:\sex.bmp
luego modifica el archivo win.ini para poder cambiar el fondo del escritorio en cada reinicio del sistema:
[desktop]
tilewallpaper=0
wallpaper=c:\sex.bmp
|
