w32.shodi.d, shodi.d, win32/hllp.shodi.d, w32/shodi-f, win32.hllp.shodi.d
tipo: virus
tama?o: 333,320 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 04/11/2004
w32/shodi.d , es un virus que infecta archivos ejecutables a excepci?n de algunos archivos ejecutables del sistema. tambi?n intentar? abrir puertas traseras (backdoor) para permitir el acceso remoto y no permitido de un intruso al sistema.
cuando el virus se ejecuta se infecta y se copia a s? mismo como:
windows \scandskw.exe windows \winmine.exe windows \sol.exe windows \pbrush.exe windows \notepad.exe los archivos originales son copiados con la extensi?n .usr y los ejecuta.
seguidamente crea una copia temporal de si mismo en:
system \usr_shohdi_photo_usr.rsu
luego modifica el archivo temporal cambi?ndole el icono por el del archivo original, seguidamente sobrescribe el archivo original como:
[usr_shohdi_photo_usr.rsu] + [archivo original] + [28 bytes]
adem?s pega y ejecuta el archivo:
system \usr_shohdi_photo_usr.exe
el archivo en menci?n es un troyano backdoor que pega y ejecuta un software de control remoto del sistema en la siguiente ubicaci?n:
system \myvirt.exe
finalmente busca archivos .exe para infectarlos en todas las unidades que hubiese en el sistema a excepci?n de los siguientes archivos:
iexplore.exe ccapp.exe ccregvfy.exe y de los que hubiese en las carpetas windows y system
nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt)
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32) |
