Worm-Backdoor.W32/Liamed@MM

Alias:
W32.Liamed@mm (Symantec)

Descripción:
Gusano cuya propagación se realiza a través del envío masivo de correo a todas las direcciones incluidas en la libreta de contactos de Windows.

Posee además capacidades de puerta trasera, pudiendo descargar ficheros de Internet, y enviar información robada del sistema, al autor del código.

Esta escrito en Microsoft C++ y comprimido con UPX.

Detalles:
Cuando Worm-Backdoor.W32/Liamed@MM es ejecutado, realiza las siguientes acciones:

1. Se copia a sí mismo como %System%\winkernal.exe
   Nota: %System% es variable. El gusano localiza el directorio System (por defecto C:\Windows\System, C:\Winnt\System32, o C:\Winnt\System32) y se replica en esa ubicación.
   
   
2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade el valor indicado, a la siguiente clave del registro:

   Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
   CurrentVersion\Run
   Valor: systhread = %System%\winkernal.exe

3. Crea la subclave indicada bajo la siguiente entrada del registro de Windows, y añade varios valores a la subclave mencionada:

   Clave: HKEY_LOCAL_MACHINE\SOFTWARE\
   Subclave creada: WinKernal

4. Descarga y ejecuta ficheros desde Internet.
   
   
5. Envia un mensaje al autor del código.
   
   
6. Recibe correos electrónicos enviados desde determinados servidores de correo POP.
   
   
7. Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviarse a sí mismo a todas las direcciones incluidas en la libreta de contactos de Windows (WAB).
   
   Tanto el asunto como el cuerpo del mensaje estan formados por caracteres chinos.
   
   El Fichero anexo del mensaje es hello.exe.

Solución:

Más información acerca de este virus en:

• Symantec

Fuente: red.es