w32.hllw.gop.g@mm
tipo: gusano e-mail
tama?o: 44,033 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.4, registro de virus al 18/01/2003
w32/gop.g@mm , es un gusano que se transmite a través de e-mail y a todas las direcciones que encuentre en archivos .htm y .html . utiliza su propio motor smtp para enviarse a todas las direcciones que encuentre en el computador infectado. llega en un archivo adjunto que tiene doble extensión, estas pueden ser .bmp, .rtf, .doc, .txt, .gif, .jpeg , o .jpg .
el asunto y el cuerpo del mensaje de email estan escritos en el idioma chino y algunas veces en el idioma ingles.
cuando el gusano se ejecuta se copia así mismo en:
c:\windows\system\windowsagent.exe
además el gusano crea las siguientes entradas en el registro del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windowsagent=c:\windows\system\windowsagent.exe
también copia un archivo .sys con capacidad de robar passwords
c:\windows\drocerrbk.sys
o
c:\windows\system\drocerrbk.sys
estando en memoria el virus infecta aleatoriamente un archivo con cualquiera de la siguientes extensiones : .bmp, .doc, .gif, .jpeg, .jpg, .rtf, o .txt . para luego agregarlo como parte del cuerpo del mensaje en un correo, seguidamente usa el nombre del archivo seleccionado y le agrega como segunda extensión una de las siguientes: .exe o .lnk , para luego enviarlo a todas las direcciones encontradas en archios .js, .htm, .html , etc. utiliza un servidor smtp.
intentará propagarse a través de recursos compartidos en la red, copiandose en la papelera de reciclaje de la unidad c:\ . ademas modifica la entrada de run en el archivo win.ini agregandole la siguiente linea de texto :
\recycled\notdelw.i.n.v.e.r.y.i.f.y.exe
|
