w32/gruel.m

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/gruel.m

win32/gruel.m, w32/gruel-m, worm.w32/gruel.m@mm
tipo: gusano de e-mail
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.5 al 31/07/2003. descripción:
w32/gruel.m , es un gusano que se transmite v?a e-mail y redes de intercambio de archivos kazaa. se env?a a si mismo a todos los contactos de la libreta de direcciones de outlook y outlook express. al infectar un computador este cambia los passwords de usuario, borra archivos del sistema.
caracter?sticas del mensaje de email:
asunto: symantec: new serious virus found
cuerpo:
norton security response: has detected a new virus
in the internet. for this reason we made this tool
attachement, to protect your computer from this
serious virus. due to the number of submissions
received from customers, symantec security response
has upgraded this threat to a category 5 (maximum ).
archivo adjunto:
rundll32.exe
protect_remove_tool.exe
-------------------------------------
cuando el gusano se ejecuta se copia a si mismo con atributos de oculto y de sistema en:
c:\rundll32.exe
seguidamente intentar? eliminar los siguientes archivos:
c:\autoexec.bat c:\config.sys c:\winnt\system32\*.dll c:\winnt\system32\ntoskrnl.exe c:\winnt\system32\command.com c:\winnt\regedit.exe c:\windows\system32\ntoskrnl.exe c:\windows\system32\command.com c:\windows\regedit.exe c:\winnt\system32\*.exe c:\winnt\system32\*.com c:\winnt\system32\*.ocx c:\windows\system32\*.dll c:\windows\system32\*.ocx c:\windows\system32\*.exe c:\windows\system32\*.com además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
mediapath=[ruta y nombre del archivo del gusano]
hkey_local_machine\software\microsoft\windows\currentversion\runonce
rundll32.exe=[ruta y nombre del archivo del gusano]
hkey_local_machine\software\microsoft\windows\currentversion\runonceex
devicepath=[ruta y nombre del archivo del gusano]
hkey_local_machine\software\microsoft\windows\currentversion\setup
netcache=[ruta y nombre del archivo del gusano]
hkey_local_machine\software\microsoft\windows\currentversion
proxydevice=[ruta y nombre del archivo del gusano]
hkey_current_user\software\killerguate 1.03
hkey_current_user\software\vb and vba program settings\killerguate
tambi?n modifica la siguiente entrada en el registro para modificar el titulo de la ventana del internet explorer
hkey_current_user\software\microsoft\internet explorer\main
window title=killerguate 1.03, i make this virus because i dont have nothing to do!!
luego modifica las siguientes entradas en el registro para que cada vez que un archivo con extensi?n .exe, .com, .bat, .pif, .hta y .ht sea llamado por el sistema, ejecute al gusano, incluido el antivirus.
hkey_classes_root\exefile\shell\open\command
predeterminado=[ruta y nombre del archivo del gusano] 1 *
hkey_classes_root\comfile\shell\open\command
predeterminado=[ruta y nombre del archivo del gusano] 1 *
hkey_classes_root\batfile\shell\open\command
predeterminado=[ruta y nombre del archivo del gusano] 1 *
hkey_classes_root\piffile\shell\open\command
predeterminado=[ruta y nombre del archivo del gusano] 1 *
hkey_classes_root\htafile\shell\open\command
predeterminado=[ruta y nombre del archivo del gusano] 1 *
hkey_classes_root\htfile\shell\open\command
predeterminado=[ruta y nombre del archivo del gusano] 1 *
adem?s tambi?n se copia a si mismo dentro de la carpeta compartida del kazaa como:
c:\windows\program files\kazaa\my shared folder\windows xp keygen 2.5.exe


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo