w32/elitper.c

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/elitper.c

worm_elitper.c
tipo: gusano
tama?o: 10,117 bytes(comprimido) y 151,552 bytes (descomprimido)
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 09/03/2005
w32/elitper.c , es un gusano que difunde a trav?s de las carpetas compartidos de programas de intercambio de archivos p2p como kazaa, kazaa lite, bearshare, morpheus, edonkey2000 y grokster.
cuando el gusano se ejecuta se copia a s? mismo en:
windows \taskmanager.exe program files \internet explorer\firewall.exe program files \windows media player\wwe divas.exe program files \windows media player\wmlaunch.exe [unidad raiz]\documents and settings\all users\start menu\programs\startup\xpstartup nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- program files es la carpeta por defecto donde se encuentran instaladas las aplicaciones.
- el archivo xpstartup, es el archivo del gusano sin extensi?n.
tambi?n modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema , de las cuales la primera existe y las otras dos apuntan a archivos que no existen:
hkey_current_user\software\microsoft\windows\currentversion\run
sysres= windows \taskmanager.exe
hkey_current_user\software\microsoft\windows\currentversion\run
firewall= program files \windows media? player\wmlaunch .exe
hkey_current_user\software\microsoft\windows\currentversion\run
firewall= program files \windows media? player\wmlaunch .exe
tambi?n modifica los siguientes valores para intentar en deshabilitar los niveles de seguridad de la computadora atacada y evitar que se ejecuten las siguientes tareas como ejecutar el administrador de tareas, el editor de registro (regedit), ejecutar programas a trav?s de inicio - ejecutar y el windows update.
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disabletaskmgr=1
hkey_current_user\software\microsoft\windows\ currentversion\policies\explorer
disallowrun=1
hkey_current_user\software\microsoft\windows\ currentversion\policies\explorer
norun=1
hkey_current_user\software\policies\microsoft\windows\windowsupdate\au
auoptions=1
hkey_current_user\software\policies\microsoft\windows\windowsupdate\au
noautoupdate=1
hkey_local_machine\software\policies\microsoft\windows\windowsupdate\au
auoptions=1
hkey_local_machine\software\policies\microsoft\windows\windowsupdate\au
noautoupdate=1
se copia a si mismo dentro de la carpeta compartida de programas de intercambio de archivos p2p (kazaa, kazaa lite, bearshare, edonkey2000, grokster y morpheus) con el nombre de archivo wwe torrie and sable screan saver.exe
luego modifica la siguiente entrada en el registro para asegurarse que los archivos de la carpeta compartida del kazaa est?n compartidos
hkey_current_user\software\kazaa\localcontent
disablesharing=0
seguidamente copia un archivo de texto dentro de la carpeta raiz del computador con el nombre de archivo virus detected.txt , el cual contiene el siguiente texto:
worm is detected on your computer (w32.surconfluge.a@mm),update your virus definition toprotect your computer from thelastest viruses and worms.
tambi?n modifica el archivo script.ini del mirc si existe en el computador atacado, agregando una entrada, de esta manera tratara de enviarse a si mismo cuando el usuario se conecte a un canal de chat.
tambi?n modifica las siguientes entradas en el registro para deshabilitar las notificaciones de windows update, eventos del firewall y antivirus, deshabilita la restauraci?n del sistema en windows xp y me.
hkey_current_user\software\microsoft\security center
antivirusdisablenotify=1
hkey_current_user\software\microsoft\security center
firewalldisablenotify=1
hkey_current_user\software\microsoft\security center
updatesdisablenotify=1
hkey_current_user\software\microsoft\windows nt\currentversion\systemrestore
disablesr=1
hkey_current_user\software\policies\microsoft\windowsfirewall\domainprofile
enablefirewall=1
hkey_current_user\software\policies\microsoft\windowsfirewall\standardprofile
enablefirewall=1
hkey_local_machine\software\policies\microsoft\windowsfirewall\domainprofile
enablefirewall=1
hkey_local_machine\software\policies\microsoft\windowsfirewall\standardprofile
enablefirewall=1
hkey_local_machine\software\microsoft\windows nt\currentversion\systemrestore
disablesr=1
hkey_local_machine\system\currentcontrolset\services\lanmanserver\shares
disk=hex(7):43,53,43,46,6c,61,67,73,3d,30,00,4d,61,78,55,73,65,73,3d,34,32,39,34,39,36,37,32,39,35,00,50,61,
74,68,3d,43,3a,5c,00,50,65,72,6d,69,73,73,69, 6f,6e,73,3d,36,33,00,54,79,70,65,3d,30,00,00,
tambi?n adiciona entradas en el registro para que los siguientes programas no se puedan ejecutar:
1.exe aawsepersonal.exe acdsee6.exe acrord32.exe ad-aware.exe application.exe apssm.exe avast.exe bind.exe browser.exe ccimscn.exe chktrust.exe clean_notepad.exe cmd.exe defrag.exe directcd.exe dllhost.exe dxdiag.exe excel.exe file.exe findstr.exe gp4.exe help.exe install.exe isuninst.exe keygen.exe mirc.exe moviemk.exe msdev.exe msmsgs.exe msnmsgr.exe navstub.exe navui.nsi navwnt.exe nerostartsmart.exe netstat.exe notepad.exe ntbackup.exe play.exe print.exe program.exe project1.exe regedit.exe remove.exe savscan.exe setup.exe shutdown.exe sndrec32.exe sndsrvc.exe sndvol32.exe svchost.exe svghost.exe uninst.exe uninstall.exe unwise.exe upx-it.exe vb6.exe vfp6.exe winhelp.exe winrar.exe winword.exe winzip.exe wmplayer.exe wordpad.exe write.exe finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=hotmail messenger.hotmail.com raw.wwe.com smackdown.wwe.com www.about.com www.alalettre.com www.alltheweb.com www.altavista.com www.bearshare.com www.cnn.com www.cradleofilth.com www.download.com www.emp3finder.com www.geocities.com www.google.com www.guitar-pro.com www.hdpvidz.com www.hotmail.com www.ironmaiden.com www.kazaa.com www.knowyournews.com www.mcafee.com www.metallica.com www.microsoft.com www.msn.com www.mysongbook.com www.nero.com www.net2phone.com www.regedit.com www.rohitab.com www.roxio.com www.startacademy.fr www.symantec.com www.themetsource.com www.thisiscyberia.com www.trendmicro.com www.urbanchaosvideos.com www.vbcode.com www.wwe.com www.yahoo.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo